La fondation Apache vient de publier une mise à jour de sécurité pour son serveur HTTP afin de corriger plusieurs vulnérabilités. Parmi elles, une faille mérite une attention particulière puisqu’elle peut permettre à un attaquant de provoquer un déni de service, voire d’exécuter du code à distance (RCE). Voici ce que l’on sait sur la CVE-2026-23918.

Un “double free” dans le module HTTP/2

Le nouveau bulletin de sécurité publié le 4 mai 2026 par la fondation Apache contient une longue liste de vulnérabilités patchées. En effet, il référence au total 11 vulnérabilités corrigées dans la dernière version du serveur Apache HTTP, dont la CVE-2026-23918.

Ce problème de sécurité se situe au sein du module , en charge des connexions HTTP/2, du serveur Apache HTTP. Tandis que la majorité des autres vulnérabilités patchées affecte de nombreuses versions d’Apache, celle-ci affecte uniquement une seule version spécifique : 2.4.66.

Découverte par Bartlomiej Dmitruk (co-fondateur de Striga.ai) et Stanislaw Strzalkowski (chercheur chez ISEC.pl), cette faille repose sur un “double free” qui se déclenche lors du processus de nettoyage d’un flux HTTP/2. Elle est associée à un score CVSS de 8.8 sur 10.

Selon les informations fournies par Bartlomiej Dmitruk à The Hacker News, ce bug se produit lorsqu’un client envoie une trame HTTP/2 immédiatement suivie d’une trame (avec un code d’erreur non nul) sur le même flux, avant que le multiplexeur n’ait pu enregistrer ce dernier. Au final, il y a une opération en double dans le tableau de nettoyage, donc le système tente de détruire une zone mémoire qui a déjà été libérée.

Il y a deux risques principaux associés à cette faille de sécurité :

• Un déni de service (DoS)

Cette vulnérabilité est exploitable sur tous les serveurs utilisant avec un module multi-processus (MPM) multi-threadé (à noter au passage que le MPM prefork n’est pas concerné).

“Le premier est un déni de service, ce qui est trivial : une connexion TCP, deux trames, aucune authentification, aucun en-tête spécial, aucune URL spécifique, et le worker plante. Apache le redémarre, mais chaque requête sur le worker planté est abandonnée, et le schéma peut être maintenu tant que l’attaquant continue d’envoyer.”, précise le chercheur.

• Une potentielle exécution de code à distance (RCE)

Dans certains cas, plus complexes, cette vulnérabilité pourrait aussi permettre une exécution de code à distance. Cela requiert l’utilisation d’une allocation mémoire de type via l’Apache Portable Runtime (APR). Il s’agirait d’ailleurs de la configuration par défaut sur les systèmes basés sur Debian ainsi que sur l’image Docker officielle d’httpd.

“Les réserves d’usage s’appliquent : pour une exploitation concrète, il faut une fuite d’informations concernant la fonction `system()` et les décalages du tableau de score, et l’attaque par « heap spray » est probabiliste ; toutefois, en conditions de laboratoire, l’exécution aboutit en quelques minutes.”, précise le chercheur.

Comment se protéger de la CVE-2026-23918 ?

Le module est inclus dans les versions standards d’Apache et le protocole HTTP/2 est aujourd’hui très largement activé en production. Néanmoins, cette faille de sécurité affecte une seule version du serveur Web Apache2 : 2.4.66.

La CVE-2026-23918, au même titre que 10 autres failles de sécurité, a été patchée dans Apache HTTP Server 2.4.67. Celle-ci est actuellement diffusée sous la forme d’une mise à jour de sécurité, notamment sur Debian.

Source