Uma falha do tipo double free no módulo HTTP/2 do Apache HTTP Server 2.4.66 (CVE-2026-23918, CVSS 8.8) pode ser explorada para causar negação de serviço e, em condições específicas, execução remota de código; a correção foi lançada na versão 2.4.67 e o problema afeta implantações com mod_http2 e MPM multi-threaded, enquanto o caminho para RCE depende do alocador mmap do APR, padrão em distribuições derivadas do Debian e na imagem oficial do httpd no Docker.
A Apache Software Foundation publicou atualizações para corrigir várias vulnerabilidades no servidor HTTP, entre elas uma falha considerada crítica no tratamento do HTTP/2.
A vulnerabilidade foi identificada como CVE-2026-23918 e obteve pontuação CVSS de 8.8.
Trata-se de um double free no mod_http2 do Apache HTTP Server 2.4.66, que foi resolvido na versão 2.4.67.
O bug aparece no caminho de limpeza de streams em h2_mplx.c quando um cliente envia um frame HEADERS seguido imediatamente por um RST_STREAM com código de erro não zero, antes que o multiplexer registre a stream, fazendo com que o mesmo ponteiro seja liberado duas vezes.
Na execução do ataque, dois callbacks do nghttp2 disparam em sequência e ambos acabam chamando as rotinas que enfileiram a limpeza, resultando na tentativa de liberar duas vezes a mesma área de memória.
De acordo com os pesquisadores, o vetor de negação de serviço é simples: uma conexão TCP e dois frames já são suficientes para derrubar um worker, afetando implantações padrão com mod_http2 e MPM multi-threaded.
O caminho para execução remota de código foi demonstrado em x86_64, mas depende do uso do alocador mmap do Apache Portable Runtime (APR), que é o padrão em sistemas derivados do Debian e na imagem oficial do httpd no Docker.
O MPM prefork não é afetado por essa vulnerabilidade, segundo as análises disponíveis.
Como mod_http2 costuma vir em builds padrão e HTTP/2 está amplamente ativado em produção, a superfície de ataque é significativa.
A descoberta foi creditada a Bartlomiej Dmitruk, cofundador da Striga.ai, e a Stanislaw Strzalkowski, pesquisador da ISEC.pl.
A correção já está disponível na versão 2.4.67 do Apache HTTP Server.
