2026-05-05 00:00
← VoltarA Apache Software Foundation (ASF) lançou atualizações de segurança para solucionar diversas vulnerabilidades de segurança no servidor HTTP, incluindo uma vulnerabilidade grave que pode levar à execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2026-23918 (pontuação CVSS: 8,8), foi descrita como um caso de “RCE duplo livre e possível” no tratamento do protocolo HTTP/2. Este problema afeta o Apache HTTP Server 2.4.66 e foi resolvido na versão 2.4.67. O cofundador do Striga.ai, Bartlomiej Dmitruk, e o pesquisador do ISEC.pl, Stanislaw Strzalkowski, foram creditados por descobrir e relatar a vulnerabilidade. Quando contatado para comentar, Dmitruk disse ao The Hacker News por e-mail que a gravidade do CVE-2026-23918 é crítica, pois pode ser explorada para obter negação de serviço (DoS) e RCE. Detalhes adicionais da vulnerabilidade estão abaixo - CVE-2026-23918 é uma liberação dupla no Apache httpd 2.4.66mod_http2, especificamente no caminho de limpeza de fluxo de h2_mplx.c. O bug é acionado quando um cliente envia um quadro HTTP/2 HEADERS imediatamente seguido por RST_STREAM com um código de erro diferente de zero no mesmo fluxo, antes que o multiplexador tenha registrado o fluxo. Dois retornos de chamada nghttp2 são acionados em sequência, on_frame_recv_cb para o RST e on_stream_close_cb para o fechamento, e ambos acabam chamando h2_mplx_c1_client_rst -> m_stream_cleanup, que envia o mesmo ponteiro h2_stream para a matriz de limpeza spurge duas vezes....
A Apache Software Foundation (ASF) lançou atualizações de segurança para solucionar diversas vulnerabilidades de segurança no servidor HTTP, incluindo uma vulnerabilidade grave que pode levar à execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2026-23918 (pontuação CVSS: 8,8), foi descrita como um caso de “RCE duplo livre e possível” no tratamento do protocolo HTTP/2. Este problema afeta o Apache HTTP Server 2.4.66 e foi resolvido na versão 2.4.67. O cofundador do Striga.ai, Bartlomiej Dmitruk, e o pesquisador do ISEC.pl, Stanislaw Strzalkowski, foram creditados por descobrir e relatar a vulnerabilidade. Quando contatado para comentar, Dmitruk disse ao The Hacker News por e-mail que a gravidade do CVE-2026-23918 é crítica, pois pode ser explorada para obter negação de serviço (DoS) e RCE. Detalhes adicionais da vulnerabilidade estão abaixo - CVE-2026-23918 é uma liberação dupla no Apache httpd 2.4.66mod_http2, especificamente no caminho de limpeza de fluxo de h2_mplx.c. O bug é acionado quando um cliente envia um quadro HTTP/2 HEADERS imediatamente seguido por RST_STREAM com um código de erro diferente de zero no mesmo fluxo, antes que o multiplexador tenha registrado o fluxo. Dois retornos de chamada nghttp2 são acionados em sequência, on_frame_recv_cb para o RST e on_stream_close_cb para o fechamento, e ambos acabam chamando h2_mplx_c1_client_rst -> m_stream_cleanup, que envia o mesmo ponteiro h2_stream para a matriz de limpeza spurge duas vezes.
Quando c1_purge_streams posteriormente itera spurge e chama h2_stream_destroy -> apr_pool_destroy em cada entrada, a segunda chamada atinge a memória que já foi liberada. O DoS, acrescentou Dmitruk, é trivial e funciona em qualquer implantação padrão com mod_http2 e um MPM multithread, enquanto o caminho RCE requer um Apache Portable Runtime (APR) com o alocador mmap, que é o padrão em sistemas derivados do Debian e na imagem oficial do Docker httpd. Dmitruk explicou ainda - A primeira é a negação de serviço, que é trivial: uma conexão TCP, dois frames, sem autenticação, sem cabeçalhos especiais, sem URL específico e o trabalhador trava. O Apache o reaparece, mas todas as solicitações do trabalhador travado são descartadas e o padrão pode ser sustentado enquanto o invasor continuar enviando. O segundo resultado é a execução remota de código, e construímos uma prova de conceito funcional em x86_64. A cadeia coloca uma estrutura h2_stream falsa no endereço virtual liberado por meio da reutilização mmap, aponta sua função de limpeza de pool para system() e usa a memória do placar do Apache como um contêiner estável para as estruturas falsas e a string de comando. O placar fica em um endereço fixo durante a vida útil do servidor, mesmo com ASLR, que é o que torna o caminho RCE prático. As advertências usuais se aplicam: a exploração prática requer um vazamento de informações para system() e as compensações do placar, e o heap spray é probabilístico, mas em condições de laboratório a execução ocorre em minutos.
Dmitruk também destacou que o pré-garfo MPM não é afetado pela falha. No entanto, o pesquisador alertou que a superfície de ataque é grande, já que o mod_http2 é fornecido em compilações padrão e o HTTP/2 é amplamente habilitado em implantações de produção. Tendo em conta a gravidade da falha, os utilizadores são aconselhados a aplicar as correções mais recentes para uma proteção ideal. Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.