文章总结： ApacheHTTPServer2.4.66版本存在HTTP/2协议处理的严重双重释放漏洞CVE-2026-23918（CVSS8.8），可导致拒绝服务或远程代码执行。该漏洞由客户端发送特定帧序列触发，影响默认启用mod_http2的多线程MPM服务器，Debian系统和官方Docker镜像存在RCE风险。建议立即升级至2.4.67版本修复。 综合评分： 85 文章分类： 漏洞分析,威胁情报,应急响应,解决方案,WEB安全

Apache HTTP/2 严重漏洞可导致 DoS 和 RCE

Ravie Lakshmanan Ravie Lakshmanan

代码卫士

2026年5月7日 18:17 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Apache软件基金会 (ASF) 发布安全更新，修复了位于 HTTP Server 中的多个漏洞，其中一个严重漏洞（CVE-2026-23918，CVSS 8.8）可能导致远程代码执行 (RCE) 后果。

该漏洞是位于 HTTP/2 协议处理中的“双重释放且可能是RCE” 的漏洞，影响 Apache HTTP Server 2.4.66版本，已在2.4.67中修复。Striga.ai 公司的联合创始人 Bartlomiej Dmitruk 和 ISEC.pl 公司的研究员 Stanislaw Strzalkowski 发现并报送了该漏洞。

Dmitruk 评论称，该漏洞可用于实现拒绝服务 (DoS) 和 RCE，属于严重级别。他还详细解释称，“CVE-2026-23918是 Apache httpd 2.4.66 中 mod_http2 模块的一个双重释放漏洞，具体位于 h2_mplx.c 的流清理路径中。当客户端在复用器尚未注册该流的情况下，向同一个 HTTP/2 流发送一个 HEADERS 帧，并紧接着发送一个带有非零错误码的 RST_STREAM 帧时，便会触发该漏洞。此时，两个 nghttp2 回调函数会依次触发：首先是处理 RST 帧的 on_frame_recv_cb，然后是处理关闭事件的 on_stream_close_cb。这两个回调最终都会调用 h2_mplx_c1_client_rst –> m_stream_cleanup，导致同一个 h2_stream 指针被两次加入到 spurge 清理数组中。随后，当 c1_purge_streams 遍历 spurge 并对每个条目调用 h2_stream_destroy  –> apr_pool_destroy 时，第二次调用的内存区域已经被释放，从而引发双重释放。”

Dmitruk 补充道，DoS 攻击非常容易实现，适用于任何默认部署了 mod_http2 且使用多线程 MPM 的服务器；而 RCE 路径要求 Apache 可移植运行时（APR）使用 mmap 分配器，这在基于 Debian 的系统以及官方 httpd Docker 镜像中是默认配置。

Dmitruk进一步解释称：第一种后果是拒绝服务，手段非常简单：只需一个 TCP 连接、两个帧，无需认证、无需特殊头部、无需特定 URL，工作进程就会崩溃。Apache 会重启该进程，但在崩溃工作进程上的所有请求都会丢失，只要攻击者持续发送数据包，这种模式就可以一直维持下去。第二种后果是远程代码执行（RCE），且研究员已经在 x86_64 架构上构建了一个可用的概念验证（PoC）。利用链通过 mmap 复用方式在已释放的虚拟地址上放置一个伪造的 h2_stream 结构体，将其内存池清理函数指向 system()，并利用 Apache 的记分板内存作为伪造结构体和命令字符串的稳定容器。

记分板在服务器的整个生命周期内位于固定地址，即使启用了 ASLR 也是如此，这正是 RCE 利用路径具备可行性的原因。通常的注意事项依然适用：实际利用需要信息泄露来获取 system() 的地址以及记分板的偏移量，并且堆喷射具有概率性，但在实验室条件下，数分钟内即可实现代码执行。

Dmitruk 还指出，MPM prefork 模式不受该漏洞影响。不过，他警告称漏洞的攻击面很大，因为 mod_http2 包含在默认构建中，且 HTTP/2 在生产环境中被广泛启用。鉴于该漏洞的严重性，建议用户应用最新修复补丁以获得最佳防护措施。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Apache Tomcat 紧急修复多个漏洞

已存在13年的Apache ActiveMQ 严重漏洞可用于远程执行命令

Apache Syncope 漏洞可用于劫持用户会话

Apache Struts 2 严重 XXE 漏洞可用于窃取敏感数据

Apache StreamPipes 严重漏洞可用于获取管理员权限

原文链接

https://thehackernews.com/2026/05/critical-apache-http2-flaw-cve-2026.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ravie Lakshmanan Ravie Lakshmanan《Apache HTTP/2 严重漏洞可导致 DoS 和 RCE》