Zraniteľnosť v Apache HTTP Server umožňuje zneprístupnenie služby a vzdialené vykonanie kódu

Apache Software Foundation vydala bezpečnostné aktualizácie, ktoré riešia niekoľko bezpečnostných zraniteľností v Apache HTTP Server, vrátane závažnej zraniteľnosti, ktorá by mohla viesť k vzdialenému vykonaniu kódu.

Zraniteľné systémy:

• Apache HTTP Server vo verzii 2.4.66

Opis zraniteľností:

CVE-2026-23918 (CVSS 3.1 skóre 8.8)

Vysoko závažná zraniteľnosť Apache HTTP Server CVE-2026-23918 vyplýva z dvojitého uvoľnenia miesta v pamäti. Nachádza sa v implementácii protokolu HTTP/2 v komponente mod_http2. Vzdialený útočník s nízkymi oprávneniami ju môže zneužiť na vyvolanie nedostupnosti servera (DoS) zaslaním rámca HTTP/2 HEADERS bezprostredne nasledovanom rámcom RST_STREAM s nenulovým chybovým kódom. V určitých konfiguráciách (Apache Portable Runtime spolu s alokátorom mmap) môže dosiahnuť vzdialené vykonanie kódu.

Možné škody:

• Zneprístupnenie služby (DoS)
• Vzdialené vykonanie kódu

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu Apache HTTP Server aspoň na verziu 2.4.67.

Zdroje:

• https://httpd.apache.org/security/vulnerabilities_24.html
• https://nvd.nist.gov/vuln/detail/CVE-2026-23918
• https://thehackernews.com/2026/05/critical-apache-http2-flaw-cve-2026.html