Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

CVE-2026-23918 в Apache HTTP Server: риск RCE через HTTP/2

2 мин
CVE-2026-23918 — это уязвимость, обнаруженная в Apache HTTP Server (httpd), конкретно в его реализации HTTP/2. Проблема получила оценку CVSS 8.8, что указывает на высокий уровень серьезности и требует немедленного внимания со стороны администраторов и команд, отвечающих за эксплуатацию серверов. Уязвимость связана с условием double free, классифицируемым как CWE-415. Это происходит, когда программное обеспечение пытается освободить один и тот же участок памяти дважды. Такие ошибки могут приводить к повреждению структур кучи, сбоям приложения и, в наиболее опасных сценариях, к выполнению произвольного кода под контролем злоумышленника. Эксплуатация CVE-2026-23918 не требует аутентификации и не предполагает наличия повышенных привилегий. Атакующий может использовать управляемый HTTP/2-трафик, который достигает сервера httpd, чтобы инициировать вредоносный сценарий. Даже если фронтенды Apache используют различные механизмы аутентификации — например, basic authentication, сеансы приложений
Оглавление

CVE-2026-23918 — это уязвимость, обнаруженная в Apache HTTP Server (httpd), конкретно в его реализации HTTP/2. Проблема получила оценку CVSS 8.8, что указывает на высокий уровень серьезности и требует немедленного внимания со стороны администраторов и команд, отвечающих за эксплуатацию серверов.

В чем суть проблемы

Уязвимость связана с условием double free, классифицируемым как CWE-415. Это происходит, когда программное обеспечение пытается освободить один и тот же участок памяти дважды. Такие ошибки могут приводить к повреждению структур кучи, сбоям приложения и, в наиболее опасных сценариях, к выполнению произвольного кода под контролем злоумышленника.

Эксплуатация CVE-2026-23918 не требует аутентификации и не предполагает наличия повышенных привилегий. Атакующий может использовать управляемый HTTP/2-трафик, который достигает сервера httpd, чтобы инициировать вредоносный сценарий.

Почему защитные меры на периметре не спасают

Даже если фронтенды Apache используют различные механизмы аутентификации — например, basic authentication, сеансы приложений или аутентификацию обратного прокси-сервера, — эти меры не предотвращают возможность установления вредоносных соединений HTTP/2.

Особую угрозу уязвимость представляет для экземпляров Apache, которые обрабатывают контент для нескольких арендаторов или пользовательский контент. В таких средах атакующий может создавать множество соединений и потоков, повышая вероятность успешной эксплуатации.

Рекомендуемое исправление

Единственной надежной мерой устранения CVE-2026-23918 является обновление до Apache httpd 2.4.67 или более поздней версии, где ошибка исправлена.

Настоятельно рекомендуется выполнить это обновление немедленно, поскольку оно полностью устраняет уязвимый путь выполнения кода, в отличие от попыток просто применить patch или ограничить риск на периметре сервера.

Почему это важно

Apache продолжает широко использоваться в самых разных серверных средах, а значит, своевременное устранение этой уязвимости напрямую влияет на общий уровень безопасности инфраструктуры. Оперативное обновление снижает риск успешной эксплуатации и помогает предотвратить как сбои сервисов, так и более серьезные последствия.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "CVE-2026-23918 в Apache HTTP Server: риск RCE через HTTP/2".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются