Vulnerabilidade no Apache HTTP/2: falha crítica CVE-2026-23918 permite RCE e DoS | SempreUpdate
-
SempreUpdate - 06 May, 2026
O Apache HTTP/2 sofreu uma falha crítica (CVE-2026-23918) que pode derrubar sites, gerando ataques de Denial of Service (DoS) e até mesmo Remote Code Execution (RCE). A vulnerabilidade, causada por um erro de gerenciamento de memória conhecido como Double Free, afeta o suporte a HTTP/2 no servidor. Ela ocorre quando o Apache lida com múltiplos fluxos simultâneos no protocolo HTTP/2, gerando uma condição de corrida que leva ao erro. O problema pode ser explorado por atacantes para causar falhas simples ou até mesmo RCE, dependendo da complexidade do ataque. A solução definitiva é atualizar o Apache para a versão 2.4.67 ou superior, que corrige o problema no módulo mod_http2. A atualização deve ser priorizada em ambientes de produção, especialmente aqueles expostos publicamente. Em caso de impossibilidade de atualização imediata, medidas temporárias como desativar suporte a HTTP/2 e evitar uso de configurações multithread podem reduzir o risco.
