В Apache HTTP Server устранена критическая уязвимость, затрагивающая обработку протокола HTTP/2. Проблема получила идентификатор CVE-2026-23918 и оценку CVSS 8.8.
Уязвимость обнаружена исследователями Бартломеем Дмитруком и Станиславом Стшалковским.
Суть уязвимости
Ошибка относится к типу double free и возникает в модуле mod_http2 при очистке потоков.
Проблема проявляется, когда клиент отправляет HTTP/2 HEADERS-фрейм, а затем сразу RST_STREAM с ненулевым кодом ошибки до того, как поток полностью зарегистрирован мультиплексором. Это приводит к некорректному освобождению памяти.
Возможные последствия
Эксплуатация уязвимости позволяет вызвать отказ в обслуживании (DoS). Также не исключается выполнение произвольного кода, что делает уязвимость критической. Атака может быть выполнена удаленно через специально сформированные HTTP/2-запросы.
Затронутые версии
Уязвимость затрагивает Apache HTTP Server версии 2.4.66. Исправление включено в версию 2.4.67. В релизе 2.4.67 также устранено несколько других уязвимостей.
Источник: HN