A Apache Software Foundation lançou uma atualização de segurança para corrigir uma falha crítica no Apache HTTP Server que afeta o processamento de conexões HTTP/2 e pode causar negação de serviço ou, em cenários específicos, execução remota de código.
A vulnerabilidade é rastreada como CVE-2026-23918 e recebeu pontuação CVSS 8.8. O problema afeta o Apache HTTP Server 2.4.66 e foi corrigido na versão 2.4.67.
A falha está no módulo mod_http2, mais especificamente no tratamento de limpeza de streams em h2_mplx.c. Na prática, a exploração para negação de serviço é considerada simples em implantações padrão com mod_http2 e MPM multithread.
Um invasor não precisa de autenticação, cabeçalhos especiais ou uma URL específica para derrubar workers do servidor.
O cenário de execução remota de código é mais complexo, mas foi demonstrado em laboratório por pesquisadores. Ele depende de condições específicas no Apache Portable Runtime, especialmente quando o alocador baseado em mmap está em uso, configuração comum em sistemas derivados do Debian e na imagem oficial Docker do httpd.
Administradores devem atualizar o Apache HTTP Server para a versão 2.4.67 o quanto antes. Como mitigação temporária, ambientes que não puderem aplicar o patch imediatamente podem avaliar a desativação do HTTP/2 ou revisar o uso de MPMs e configurações expostas à internet.
