CISA KEV CVE-2021-42013: apache_http 2.2.22 en senado (explotación activa documentada; en uso por ransomware activo)
Categoría
vulnerabilidad_explotacion_activa
Confianza
verified
Observado
2026-05-03
OWASP
A06:2021 — Vulnerable and Outdated Components
Resumen
La versión detectada apache_http 2.2.22 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-42013: Apache HTTP Server Path Traversal Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2021-11-03, dueDate gov US=2021-11-17; en uso por ransomware activo).
Por qué importa
El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.
Cómo mitigar
- •Revisar la guía técnica correspondiente a la categoría y aplicar las recomendaciones del estándar OWASP relacionado.