Luka podwójnego zwolnienia pamięci i możliwego zdalnego wykonania kodu w Apache HTTP Server (CVE-2026-23918)

Wykryto poważną lukę w Apache HTTP Server 2.4.66 związaną z HTTP/2, umożliwiającą zdalne wykonanie kodu. Zalecana aktualizacja do wersji 2.4.67.
CVE-2026-23918CVSS 8.8Web

Luka podwójnego zwolnienia pamięci i możliwego zdalnego wykonania kodu w Apache HTTP Server (CVE-2026-23918)

Wykryto poważną lukę w Apache HTTP Server 2.4.66 związaną z HTTP/2, umożliwiającą zdalne wykonanie kodu. Zalecana aktualizacja do wersji 2.4.67.

CVSS
8.8 HIGH
EPSS
98.65%
Aktywnie wykorzystywana
brak w KEV
Produkt
http server

Co wiadomo

W Apache HTTP Server w wersji 2.4.66 wykryto poważną lukę bezpieczeństwa związaną z protokołem HTTP/2, umożliwiającą podwójne zwolnienie pamięci i potencjalne zdalne wykonanie kodu. Problem ten został załatany w wersji 2.4.67.

Wpływ biznesowy

Luka o wysokim poziomie zagrożenia (CVSS 8.8) może pozwolić atakującym na przejęcie kontroli nad serwerem poprzez zdalne wykonanie kodu, co stwarza poważne ryzyko dla dostępności i integralności usług webowych. Operatorzy infrastruktury powinni traktować tę podatność priorytetowo, aby uniknąć potencjalnych incydentów bezpieczeństwa i przestojów.

Rekomendowane działania administratora

Zaleca się niezwłoczne przeprowadzenie aktualizacji Apache HTTP Server do wersji 2.4.67 lub nowszej, która zawiera poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, warto ograniczyć ekspozycję serwera na ruch HTTP/2, monitorować logi pod kątem podejrzanej aktywności oraz przygotować plan szybkiego wdrożenia poprawki.

Źródła