文章总结： ApacheHTTPServer2.4.67版本修复了五个安全漏洞，其中最严重的是CVE-2026-23918高危双重释放漏洞（CVSS8.8），可导致远程代码执行，仅影响2.4.66版本。其他漏洞包括modrewrite权限提升、modproxy_ajp缓冲区溢出等。建议立即升级至2.4.67，或通过禁用HTTP/2、移除未使用模块等措施临时缓解风险。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,应急响应,WEB安全,解决方案

【安全圈】Apache HTTP Server 漏洞致数百万服务器面临远程代码执行攻击风险

安全圈

2026年5月5日 19:01 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

Apache 软件基金会已发布针对 Apache HTTP Server 的关键安全更新，修复了五个漏洞，其中包括 2026 年 5 月 4 日发布的 2.4.67 版本中一个可导致远程代码执行（RCE）的危险双重释放漏洞。强烈建议所有运行 2.4.66 或更早版本的用户立即升级。

高危漏洞详情

五个漏洞中最严重的是（CVE-2026-23918），CVSS 基础评分为 8.8 分，属于高危漏洞。该漏洞是 Apache HTTP/2 协议实现中”早期流重置”序列触发的双重释放内存破坏漏洞。

当程序尝试两次释放同一内存区域时，就会发生双重释放漏洞，这会破坏堆内存结构。在此案例中，攻击者可借此重定向执行流，从而打开远程代码执行的大门。该漏洞仅影响 Apache HTTP Server 2.4.66 版本，由 striga.ai 的 Bartlomiej Dmitruk 和 isec.pl 的 Stanislaw Strzalkowski 于 2025 年 12 月 10 日首次向 Apache 安全团队报告。

第二个漏洞（CVE-2026-24072）被评为中危，针对 mod_rewrite 使用 ap_expr 表达式评估的功能。该漏洞允许本地 .htaccess 作者以 httpd 用户权限读取任意文件，实质上实现了超出其预期访问级别的权限提升。

其他修复漏洞

在 2.4.67 更新中还修复了三个较低严重性的漏洞：

• （CVE-2026-28780） — mod_proxy_ajp 中通过 ajp_msg_check_header() 触发的基于堆的缓冲区溢出。如果 mod_proxy_ajp 连接到恶意 AJP 服务器，该服务器可发送特制 AJP 消息，导致模块在堆缓冲区末尾写入 4 个攻击者控制的字节。
• （CVE-2026-29168） — mod_md 的 OCSP 响应处理程序中未限制的资源分配漏洞。攻击者可利用此漏洞通过超大的 OCSP 响应数据耗尽服务器资源。
• （CVE-2026-29169） — mod_dav_lock 中的空指针解引用漏洞，允许攻击者通过特制请求使服务器崩溃。

漏洞影响范围

| CVE | 严重性 | 组件 | 影响 | 受影响版本 | | — | — | — | — | — | | （CVE-2026-23918） | 高危 (CVSS 8.8) | HTTP/2 | 双重释放/RCE | 仅 2.4.66 | | （CVE-2026-24072） | 中危 | mod_rewrite (ap_expr) | 权限提升 | ≤ 2.4.66 | | （CVE-2026-28780） | 低危 | mod_proxy_ajp | 堆缓冲区溢出 | ≤ 2.4.66 | | （CVE-2026-29168） | 低危 | mod_md (OCSP) | 资源耗尽 | 2.4.30–2.4.66 | | （CVE-2026-29169） | 低危 | mod_dav_lock | 空指针解引用/DoS | ≤ 2.4.66 |

缓解措施

鉴于 Apache HTTP Server 在全球范围内的巨大部署规模，（CVE-2026-23918）带来的 RCE 风险对全球企业基础设施构成重大威胁。管理员应立即采取以下措施：

1. 升级至 Apache HTTP Server 2.4.67

   — 这是修复所有五个漏洞的唯一完整方案。

2. 临时禁用 HTTP/2

   — 如果无法立即升级，可暂时禁用 HTTP/2 以减少（CVE-2026-23918）的暴露风险。

3. 移除 mod_dav_lock

   — 如果该模块未在使用中，可作为（CVE-2026-29169）的临时缓解措施。

4. 审核 .htaccess 权限

   — 在关注本地用户访问的环境中，限制（CVE-2026-24072）的暴露风险。

END

阅读推荐

【安全圈】Wireshark 高危漏洞可致攻击者通过畸形数据包执行任意代码

【安全圈】微软杀毒软件把系统“身份证”当病毒删了

【安全圈】月下载量超100万的 Python 工具被植入恶意代码

【安全圈】远程篡改政府招投标数据将对手评分改低，两人获刑

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】Apache HTTP Server 漏洞致数百万服务器面临远程代码执行攻击风险》