Uma falha grave no Apache HTTP Server, identificada como CVE-2026-23918, foi corrigida pela Apache Software Foundation. Essa vulnerabilidade, com pontuação CVSS de 8.8, pode permitir a execução remota de código (RCE) e ataques de negação de serviço (DoS). A falha, que afeta o Apache HTTP Server 2.4.66, foi resolvida na versão 2.4.67.
Descrita como um problema de “double free”, a falha ocorre no manuseio do protocolo HTTP/2. Ela é ativada quando um cliente envia um quadro HEADERS seguido por um RST_STREAM com um código de erro não zero, antes que o multiplexador registre o fluxo. Isso resulta em chamadas duplicadas que levam à liberação de memória já liberada, causando um DoS.
De acordo com Bartlomiej Dmitruk, cofundador da Striga.ai, a exploração do DoS é simples e pode ser realizada em qualquer configuração padrão com mod_http2 e um MPM multithread. Já a execução remota de código requer um Apache Portable Runtime com o alocador mmap, comum em sistemas derivados do Debian e na imagem oficial do Docker do httpd.
O ataque de DoS pode ser sustentado indefinidamente, enquanto a execução remota de código foi demonstrada em laboratório, exigindo vazamento de informações para ser prática. Dmitruk alerta que o mod_http2 é amplamente utilizado, ampliando a superfície de ataque. Assim, é crucial que os usuários apliquem as atualizações mais recentes para proteção ideal.
Fonte:https://thehackernews.com/2026/05/critical-apache-http2-flaw-cve-2026.html
Slug: vulnerabilidade-critica-apache-http2-ataques
