A Apache Software Foundation (ASF) divulgou atualizações de segurança para corrigir falhas críticas no servidor HTTP, incluindo uma vulnerabilidade grave que pode levar à execução remota de código (RCE). Identificada como CVE-2026-23918, essa falha possui um escore CVSS de 8.8 e está relacionada a um problema de “double free” no protocolo HTTP/2. A falha afeta o Apache HTTP Server 2.4.66, sendo corrigida na versão 2.4.67.
A falha foi descoberta por Bartlomiej Dmitruk, cofundador da Striga.ai, e Stanislaw Strzalkowski, pesquisador da ISEC.pl. Dmitruk destacou a gravidade do CVE-2026-23918, que pode ser explorado para causar negação de serviço (DoS) e RCE. A vulnerabilidade ocorre no caminho de limpeza de stream do mod_http2, especificamente no arquivo h2_mplx.c.
O problema é acionado quando um cliente envia um quadro HTTP/2 HEADERS seguido por RST_STREAM com um código de erro não zero no mesmo stream, antes que o multiplexador registre o stream. Isso resulta em chamadas duplicadas para a função de limpeza, causando a liberação dupla de memória. O ataque DoS é simples e pode ser realizado em qualquer configuração padrão com mod_http2 e um MPM multithread.
Para a execução remota de código, é necessário um Apache Portable Runtime (APR) com alocador mmap, comum em sistemas derivados do Debian e na imagem oficial do Docker do httpd. Dmitruk explicou que a exploração prática requer vazamento de informações e pulverização de heap, mas é viável em condições de laboratório. O MPM prefork não é afetado pela falha.
Devido à gravidade da vulnerabilidade, recomenda-se que os usuários apliquem as correções mais recentes para garantir proteção adequada.
Fonte:https://thehackernews.com/2026/05/critical-apache-http2-flaw-cve-2026.html
