CVE-2026-23918 — Apache HTTP Server : double free et RCE possible via HTTP/2

Apache a publié le 4 mai 2026 une mise de jour de sécurité pour corriger notamment une vulnérabilité de niveau élevée (CVE-2026-23918) dans Apache HTTP Server 2.4.66, et plus particulièrement dans le module HTTP/2, qui pourrait permettre à un attaquant distant d’exécuter du code arbitraire (RCE) via une double libération de mémoire (double free).

Versions affectées

Apache HTTP Server 2.4.66.

La mise à jour de sécurité vers la version 2.4.67 est recommandée pour corriger cette vulnérabilité.

Chronologie

Découverte signalée par Bartlomiej Dmitruk (striga.ai) et Stanisław Strzałkowski (isec.pl).

Pas d’exploitation active connue à ce jour, mais la vulnérabilité est considérée comme élevée (score CVSS 3.1 - 8.8) en raison de son potentiel d’exécution de code à distance. Son impact est d’autant plus critique que le module HTTP/2 est activé dans de nombreuses configurations, et que Apache HTTP Server est largement utilisé dans les infrastructures web.

Pour aller plus loin

Qu’est-ce qu’Apache HTTP Server ?

Créé en 1995, Apache HTTP Server est l’un des serveurs web les plus utilisés au monde. Il alimente une part importante des sites web, des hébergements mutualisés aux infrastructures d’entreprise, et figure toujours parmi les deux serveurs web les plus répandus en parts de marché.

Sa version 2.4.x est largement intégrée dans de nombreuses distributions Linux ce qui explique sa forte présence. Cette diffusion étendue fait que toute vulnérabilité de niveau élevée affectant ce logiciel constitue un enjeu majeur en terme de sécurité.

Qu’est-ce qu’un double free ?

C’est un bug qui se produit lorsqu’un programme libère deux fois la même zone de mémoire. Cela perturbe l’organisation interne de la mémoire (le “heap”), qui se retrouve corrompue. Résultat : le programme peut planter, ou dans les cas les plus graves, un attaquant peut en profiter pour exécuter du code malveillant.

Sources

• Apache
• CVE-2026-23918 sur CVE Details.