A Apache Software Foundation (ASF) divulgou atualizações de segurança para corrigir várias falhas no servidor HTTP, incluindo uma vulnerabilidade grave que pode resultar em execução remota de código (RCE). Identificada como CVE-2026-23918, essa falha foi descrita como um caso de “dupla liberação e possível RCE” no tratamento do protocolo HTTP/2, afetando o Apache HTTP Server 2.4.66. A correção foi implementada na versão 2.4.67.
A falha foi descoberta por Bartlomiej Dmitruk, cofundador da Striga.ai, e Stanislaw Strzalkowski, pesquisador da ISEC.pl. Dmitruk destacou que a gravidade da CVE-2026-23918 é crítica, pois pode ser explorada para causar negação de serviço (DoS) e RCE. A vulnerabilidade ocorre devido a um problema de “dupla liberação” no mod_http2 do Apache httpd 2.4.66, especificamente na limpeza de fluxo do h2_mplx.c.
O problema é acionado quando um cliente envia um quadro HEADERS HTTP/2 seguido imediatamente por um RST_STREAM com um código de erro não zero no mesmo fluxo, antes que o multiplexador registre o fluxo. Isso resulta em chamadas duplicadas para a função de limpeza de fluxo, levando à liberação de memória já liberada. O ataque DoS é simples e pode ser realizado em qualquer implantação padrão com mod_http2 e um MPM multi-threaded.
A execução remota de código requer um Apache Portable Runtime (APR) com o alocador mmap, padrão em sistemas derivados do Debian e na imagem oficial do Docker do httpd. Dmitruk explicou que a execução remota envolve a colocação de uma estrutura h2_stream falsa no endereço virtual liberado via reutilização do mmap, apontando sua função de limpeza para system(). A memória do placar do Apache serve como um contêiner estável para as estruturas falsas e a string de comando.
Embora o MPM prefork não seja afetado, a superfície de ataque é ampla, já que o mod_http2 é incluído em compilações padrão e o HTTP/2 é amplamente habilitado em implantações de produção. Devido à gravidade da falha, é recomendado que os usuários apliquem as últimas correções para garantir proteção ideal.
Fonte:https://thehackernews.com/2026/05/critical-apache-http2-flaw-cve-2026.html
