Luka podwójnego zwolnienia pamięci i możliwego zdalnego wykonania kodu w Apache HTTP Server (CVE-2026-23918)
Wykryto poważną lukę w Apache HTTP Server 2.4.66 związaną z HTTP/2, umożliwiającą zdalne wykonanie kodu. Zalecana aktualizacja do wersji 2.4.67.
- CVSS
- 8.8 HIGH
- EPSS
- 98.65%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- http server
Co wiadomo
W Apache HTTP Server w wersji 2.4.66 wykryto poważną lukę bezpieczeństwa związaną z protokołem HTTP/2, umożliwiającą podwójne zwolnienie pamięci i potencjalne zdalne wykonanie kodu. Problem ten został załatany w wersji 2.4.67.
Wpływ biznesowy
Luka o wysokim poziomie zagrożenia (CVSS 8.8) może pozwolić atakującym na przejęcie kontroli nad serwerem poprzez zdalne wykonanie kodu, co stwarza poważne ryzyko dla dostępności i integralności usług webowych. Operatorzy infrastruktury powinni traktować tę podatność priorytetowo, aby uniknąć potencjalnych incydentów bezpieczeństwa i przestojów.
Rekomendowane działania administratora
Zaleca się niezwłoczne przeprowadzenie aktualizacji Apache HTTP Server do wersji 2.4.67 lub nowszej, która zawiera poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, warto ograniczyć ekspozycję serwera na ruch HTTP/2, monitorować logi pod kątem podejrzanej aktywności oraz przygotować plan szybkiego wdrożenia poprawki.