Critical Apache HTTP/2 Flaw (CVE-2026-23918) Enables DoS and Potential RCE

Vulnérabilité critique dans Apache HTTP/2 (CVE-2026-23918)

Une vulnérabilité critique (CVE-2026-23918) affectant le module mod_http2 d’Apache HTTP Server (version 2.4.66) permet à un attaquant distant de provoquer un déni de service (DoS) ou, sous certaines conditions, une exécution de code à distance (RCE).

Points clés :

• Nature du défaut : Il s’agit d’une faille de type “double free” située dans le processus de nettoyage des flux (h2_mplx.c).
• Mécanisme d’attaque : La faille est déclenchée lorsqu’un client envoie une trame HEADERS suivie immédiatement d’un RST_STREAM avant que le multiplexeur n’ait enregistré le flux.
• Impact :
  • DoS : Facile à exploiter sans authentification, entraînant le plantage systématique des processus travailleurs (workers).
  • RCE : Possible si l’environnement utilise l’allocateur mmap (par défaut sur Debian et les images Docker officielles). L’exploitation repose sur la réutilisation d’adresses mémoire et sur la position fixe du “scoreboard” d’Apache, facilitant l’injection de commandes.
• Environnements non affectés : Le module MPM prefork n’est pas vulnérable.

Recommandations :

• Mise à jour immédiate : Passer à la version 2.4.67 d’Apache HTTP Server, qui corrige la gestion de la mémoire dans mod_http2.
• Atténuation : Si la mise à jour n’est pas immédiatement possible, envisager l’utilisation du MPM prefork ou désactiver mod_http2 si les besoins métier le permettent.

Source