更新時間:2026/06/02 15:37:07
發佈時間:2026/06/02 15:37:07
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Apache HTTP Server存在記憶體管理缺陷漏洞(CVE-2026-23918)。該漏洞存在於HTTP/2(mod_http2)模組處理stream提前重置(Early Reset)請求的流程中,因資源釋放邏輯異常,導致同一記憶體區塊可能被重複釋放(Double Free)。
遠端攻擊者可透過特製HTTP/2請求封包,於HTTP/2 Stream提前重置連線的情境下觸發記憶體重複釋放問題,造成Heap記憶體損毀(Heap Corruption)。成功利用後,可能導致Apache HTTP Server服務異常終止(Denial of Service),並於特定系統環境及記憶體配置條件下,進一步達成遠端程式碼執行(RCE)。
二、已揭露攻擊活動說明
1. GitHub已有PoC程式碼。[2]
▶ 漏洞資訊
⌵
名稱:
CVE-2026-23918
描述:
使用版本:CVSS 3.1
分析分數:8.8
參考來源:CISA-ADP
▶ 影響平台
⌵
影響平台-系統:
1. Apache HTTP Server版本2.4.66受到影響,建議更新至2.4.67或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://httpd.apache.org/security/vulnerabilities_24.html | Apache |
| 2 | https://github.com/xeloxa/CVE-2026-23918-Apache-H2-PoC | GitHub |
情資編號:
FISAC-200-202606-0006
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞