Вразливість подвійного звільнення пам'яті в Apache HTTP Server з HTTP/2

Висококритична вразливість подвійного звільнення пам'яті в Apache HTTP Server 2.4.66 через HTTP/2. Рекомендується оновлення до 2.4.67 для захисту сервера.
CVE-2026-23918CVSS 8.8Web

Вразливість подвійного звільнення пам'яті в Apache HTTP Server з HTTP/2

Висококритична вразливість подвійного звільнення пам'яті в Apache HTTP Server 2.4.66 через HTTP/2. Рекомендується оновлення до 2.4.67 для захисту сервера.

CVSS
8.8 HIGH
EPSS
98.65%
Активно використовується
немає в KEV
Продукт
http server

Що відомо

В Apache HTTP Server версії 2.4.66 виявлено вразливість подвійного звільнення пам'яті, що може призвести до віддаленого виконання коду через протокол HTTP/2. Ця проблема має високий рівень критичності (CVSS 8.8).

Бізнес-вплив

Вразливість може дозволити зловмисникам виконувати довільний код на сервері, що призводить до компрометації веб-сервера та потенційного доступу до конфіденційних даних. Для організацій, які використовують Apache HTTP Server 2.4.66 з HTTP/2, це створює серйозний ризик для безпеки інфраструктури.

Рекомендовані дії адміністратора

Рекомендується невідкладно оновити Apache HTTP Server до версії 2.4.67 або новішої, де ця вразливість усунена. Якщо оновлення наразі неможливе, слід обмежити використання протоколу HTTP/2, переглянути журнали на предмет підозрілої активності та посилити моніторинг безпеки. Також варто оцінити експозицію сервера в мережі та пріоритезувати виправлення цієї проблеми.

Джерела