Apache 軟體基金會 (ASF) 發布了安全性更新，以解決 HTTP 伺服器中的幾個安全漏洞，其中包括一個可能導致遠端程式碼執行 (RCE) 的嚴重漏洞。此漏洞編號為CVE-2026-23918（CVSS 評分：8.8），被描述為 HTTP/2 協定處理中的「雙重釋放和可能的遠端程式碼執行」。此問題影響 Apache HTTP Server 2.4.66 版本，已在 2.4.67 版本中修復。

Striga.ai 聯合創始人 Bartlomiej Dmitruk 和 ISEC.pl 研究員 Stanislaw Strzalkowski因發現並報告該漏洞而受到表彰。當被問及此事時，Dmitruk 透過電子郵件告訴 The Hacker News，CVE-2026-23918 的嚴重性非常高，因為它可被利用來實現拒絕服務 (DoS) 和遠端程式碼執行 (RCE)。該漏洞的更多細節如下：

CVE-2026-23918 是 Apache httpd 2.4.66 mod_http2中的雙重釋放漏洞，具體位於 h2_mplx.c 的流清理路徑中。當用戶端在多工器註冊流之前，立即發送 HTTP/2 HEADERS 幀，然後緊接著發送一個帶有非零錯誤代碼的 RST_STREAM 幀到同一流時，就會觸發此漏洞。

Dmitruk補充說，拒絕服務攻擊（DoS）非常簡單，在任何使用mod_http2和多線程MPM的預設部署中都能奏效；而遠端程式碼執行（RCE）則需要帶有mmap分配器的Apache可移植運行時（APR），這在基於Debian的系統和官方httpd Docker映像中都是預設配置。

即使啟用了位址空間佈局隨機化 (ASLR)，記分板在伺服器生命週期內也位於固定位址，這使得遠端程式碼執行 (RCE) 路徑切實可行。當然，也存在一些常見的限制：實際利用需要洩露 system() 函數和記分板偏移量的信息，並且堆噴射攻擊具有概率性，但在實驗室條件下，執行只需幾分鐘。Dmitruk 也指出，MPM 預分支不受此漏洞影響。然而，研究人員警告說，由於 mod_http2 包含在預設建置版本中，且 HTTP/2 在生產環境中廣泛啟用，因此攻擊面很大。鑑於此漏洞的嚴重性，建議用戶應用最新的修復程序以獲得最佳保護。

資料來源：https://thehackernews.com/2026/05/critical-apache-http2-flaw-cve-2026.html