Segui 
Apache ha corretto CVE-2026-23918, un difetto critico nella gestione HTTP/2 del server Apache HTTP che Apache descrive come un “double free e possibile RCE”. Il problema riguarda Apache HTTP Server 2.4.66 ed è stato risolto nella versione 2.4.67, rilasciata il 4 maggio 2026.
La vulnerabilità CVE-2026-23918 è importante perché può essere sfruttata in remoto e senza autenticazione. Le segnalazioni pubbliche indicano che il bug può causare una condizione di denial-of-service e, in determinate condizioni, potrebbe anche aprire un percorso per l’esecuzione di codice remoto, rendendolo uno dei problemi più seri affrontati nell’ultimo rilascio di sicurezza di Apache.
Apache accredita Bartlomiej Dmitruk di striga.ai e Stanislaw Strzalkowski di isec.pl per aver segnalato il difetto. La pagina delle vulnerabilità di Apache mostra che è stato segnalato al team di sicurezza il 10 dicembre 2025, corretto nel codice sorgente l’11 dicembre 2025 e distribuito agli utenti nel rilascio 2.4.67 mesi dopo.
Analisi di CVE-2026-23918
Secondo Apache e i commenti dei ricercatori citati da The Hacker News, il bug è un double-free in mod_http2, specificamente nel percorso di pulizia del flusso. Può essere attivato quando un client invia un frame HEADERS HTTP/2 e poi invia immediatamente RST_STREAM con un codice di errore non zero prima che il flusso sia completamente registrato dal multiplexer.
Questa sequenza può causare l’esecuzione di due callback in un modo che spinge lo stesso oggetto flusso nell’array di pulizia due volte. Quando Apache successivamente distrugge le voci del flusso, la memoria già liberata viene rilasciata nuovamente. In termini pratici, la vulnerabilità in CVE-2026-23918 è un difetto nella gestione della memoria che può far crashare i processi di lavoro e, nell’ambiente giusto, essere plasmata in esecuzione di codice.
Il percorso di denial-of-service sembra essere l’esito più facile. I ricercatori hanno detto a The Hacker News che una connessione TCP e due frame HTTP/2 sono sufficienti per far crashare un worker nelle installazioni predefinite che utilizzano mod_http2 con un MPM multi-thread. Hanno anche notato che MPM prefork non è interessato, mentre il possibile percorso RCE dipende da una configurazione APR che utilizza l’allocatore mmap, che si dice essere predefinito sui sistemi derivati da Debian e nell’immagine ufficiale di httpd Docker.
Per quanto riguarda la maturità dell’exploit, la segnalazione pubblica dice che i ricercatori hanno costruito una POC funzionante di CVE-2026-23918 per x86_64 in condizioni di laboratorio. Hanno anche detto che l’exploitation pratica richiede ancora condizioni favorevoli come una fuga di informazioni e un riutilizzo della memoria favorevole, quindi l’esecuzione di codice è più impegnativa di una semplice interruzione del servizio.
A questo stadio, i dettagli pubblici per CVE-2026-23918 indicano molto più chiaramente crash di processo e instabilità dei worker piuttosto che un RCE ampiamente riproducibile sul campo. Inoltre, non ci sono IOC vendor-published per CVE-2026-23918, quindi i difensori dovrebbero concentrarsi sull’esposizione delle versioni, crash imprevisti dei worker e pattern sospetti di reset HTTP/2 piuttosto che su un set di firme stabile.
Mitigazione di CVE-2026-23918
La correzione principale è aggiornare Apache HTTP Server dalla versione 2.4.66 alla 2.4.67. L’avviso di sicurezza di Apache raccomanda esplicitamente di passare alla versione corretta, e SecurityWeek nota che il rilascio corregge 11 vulnerabilità, inclusa questa critica questione HTTP/2.
Per un triage immediato, i difensori dovrebbero identificare i sistemi esposti su Internet dove mod_http2 è abilitato e dove sono utilizzati MPM multi-thread. È la maniera più pratica per rilevare l’esposizione a CVE-2026-23918 perché l’attacco si basa sulla gestione delle richieste HTTP/2, non su un artefatto di malware scartato o beacon post-exploitation tradizionali.
Se il patching d’emergenza è ritardato, ridurre l’esposizione al traffico HTTP/2 può aiutare a ridurre la superficie d’attacco fino all’applicazione degli aggiornamenti. Il payload di CVE-2026-23918 descritto pubblicamente non è un file convenzionale o un binario ma una sequenza creata di frame HTTP/2 progettata per forzare il percorso di pulizia difettoso, quindi le istanze di Apache esposte alla rete dovrebbero avere priorità.
Da una prospettiva di rischio, CVE-2026-23918 colpisce le organizzazioni che si affidano a Apache HTTP Server 2.4.66 per carichi di lavoro web pubblici, soprattutto dove HTTP/2 è abilitato per default o ampiamente distribuito per ragioni di prestazioni. Questo include i server web standard basati su Linux così come le distribuzioni containerizzate che utilizzano l’immagine ufficiale di Apache.
FAQ
Che cosa è CVE-2026-23918 e come funziona?
È un difetto critico di double-free nella gestione HTTP/2 del server Apache HTTP. Una sequenza temporale specificamente cronometrata di frame HTTP/2 può spingere lo stesso oggetto flusso nella pulizia due volte, portando a crash dei worker e potenzialmente abilitando l’esecuzione di codice remoto in condizioni favorevoli.
Quando è stata scoperta per la prima volta CVE-2026-23918?
La pagina delle vulnerabilità di Apache dice che il problema è stato segnalato al team di sicurezza il 10 dicembre 2025. La correzione è stata inserita nel codice sorgente l’11 dicembre 2025 e il rilascio corretto 2.4.67 è stato pubblicato il 4 maggio 2026.
Qual è l’impatto di CVE-2026-23918 sui sistemi?
L’impatto più immediato è il denial of service a causa dei crash dei worker Apache. Le segnalazioni pubbliche dicono anche che il difetto può consentire l’esecuzione di codice remoto, anche se quel percorso appare più complesso e dipendente dall’ambiente rispetto allo scenario di crash.
CVE-2026-23918 può ancora colpirmi nel 2026?
Sì. I sistemi possono ancora essere esposti nel 2026 se stanno eseguendo Apache HTTP Server 2.4.66 con mod_http2 abilitato e non sono stati ancora aggiornati alla versione 2.4.67. Il rischio è particolarmente rilevante per le distribuzioni che utilizzano MPM threaded.
Come posso proteggermi da CVE-2026-23918?
Aggiorna ad Apache HTTP Server 2.4.67 il prima possibile, identifica le distribuzioni esposte con HTTP/2 abilitato e dai priorità ai server raggiungibili esternamente per la mitigazione. Dove il patching non può avvenire immediatamente, ridurre l’esposizione a HTTP/2 può aiutare a diminuire il rischio a breve termine.
