文章总结： Apache软件基金会发布HTTP服务器2.4.67版本，修复五个漏洞，其中最严重的是CVE-2026-23918（CVSS8.8），该HTTP/2双重释放漏洞可导致远程代码执行。其他漏洞涉及权限提升、缓冲区溢出、资源耗尽和拒绝服务。建议管理员立即升级至2.4.67，或通过禁用HTTP/2、移除未使用模块等措施临时缓解风险。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,应急响应,应用安全,网络安全

Apache HTTP 服务器严重漏洞使数百万台服务器面临远程代码执行攻击风险

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月5日 19:23 北京

在小说阅读器读本章

去阅读

Apache 软件基金会发布了针对Apache HTTP 服务器的关键安全更新，修复了五个漏洞，其中包括一个危险的双重释放漏洞，该漏洞可能在 2026 年 5 月 4 日发布的 2.4.67 版本中启用远程代码执行 (RCE)。强烈建议所有运行 2.4.66 或更早版本的用户立即升级。

五个漏洞中最严重的是 CVE-2026-23918，评级为“高”，CVSS 基本得分为 8.8。

该缺陷是 Apache HTTP/2 协议实现中在“早期流重置”序列期间触发的双重释放内存损坏错误。

当程序尝试两次释放同一内存区域时，就会发生双重释放漏洞，这会破坏堆内存结构，并可能使攻击者能够重定向执行流程，从而打开远程代码执行的大门。

该漏洞仅影响 Apache HTTP 服务器版本 2.4.66，最早由 striga.ai 的 Bartlomiej Dmitruk 和 isec.pl 的 Stanislaw Strzalkowski 于 2025 年 12 月 10 日向 Apache 安全团队报告。

修复程序r1930444于第二天，即 2025 年 12 月 11 日，在修订版中提交，公开补丁于 2026 年 5 月 4 日在 2.4.67 版本中发布。

第二个缺陷 CVE-2026-24072 被评为中等，针对的mod_rewrite是ap_expr表达式评估的使用。

该漏洞允许本地.htaccess作者以用户的权限读取任意文件httpd，从而有效地将权限提升到超出其预期访问级别之外。

该错误影响 Apache HTTP Server 2.4.66 及更早版本，由研究员 y7syeu 于 2026 年 1 月 20 日报告。

已修复其他漏洞

在 2.4.67 版本更新中，还修复了另外三个严重程度较低的缺陷：

• CVE-2026-28780 — 一个基于堆的缓冲区溢出漏洞mod_proxy_ajp。ajp_msg_check_header()如果mod_proxy_ajp连接到恶意 AJP 服务器，该服务器可以发送精心构造的 AJP 消息，导致该模块向堆缓冲区末尾写入 4 个由攻击者控制的字节。该漏洞由四位研究人员在 2026 年 2 月至 3 月期间独立报告。
• CVE-2026-29168 — 的 OCSP 响应处理程序中存在一个未限制资源分配的漏洞mod_md。攻击者可以利用此漏洞，通过过大的 OCSP 响应数据耗尽服务器资源。该漏洞影响 2.4.30 至 2.4.66 版本，由 Aisle Research 的 Pavel Kohout 于 2026 年 3 月 2 日报告。
• CVE-2026-29169 — 一个空指针解引用漏洞mod_dav_lock，攻击者可利用恶意构造的请求使服务器崩溃。值得注意的是，该漏洞mod_dav_lock在内部并未被 Apache Subversion 或 Apache Subversion 内部使用mod_dav——mod_dav_fs其唯一已知的使用案例是mod_dav_svnApache Subversion 1.2.0 之前的版本。作为缓解措施，无法立即升级的管理员可以简单地移除该漏洞mod_dav_lock。

| CVE | 严重程度 | 成分 | 影响 | 受影响版本 | | — | — | — | — | — | | CVE-2026-23918 | 高（CVSS 8.8） | HTTP/2 | 双倍免费/RCE | 仅限 2.4.66 版本 | | CVE-2026-24072 | 中 | mod_rewrite（ap_expr） | 权限提升 | ≤ 2.4.66 | | CVE-2026-28780 | 低的 | mod_proxy_ajp | 堆缓冲区溢出 | ≤ 2.4.66 | | CVE-2026-29168 | 低的 | mod_md（OCSP） | 资源耗尽 | 2.4.30–2.4.66 | | CVE-2026-29169 | 低的 | mod_dav_lock | 空指针解引用/拒绝服务 | ≤ 2.4.66 |

缓解措施

鉴于 Apache HTTP 服务器在全球范围内的庞大部署规模，CVE-2026-23918 带来的远程代码执行 (RCE) 风险对全球企业基础设施构成重大威胁。管理员应立即采取以下措施：

1. 升级到 Apache HTTP Server 2.4.67 — 是唯一能够彻底修复所有五个漏洞的版本。
2. 如果立即升级不可行，则暂时禁用 HTTP/2以减少 CVE-2026-23918 的风险。
3. mod_dav_lock如果该模块未处于活跃使用状态，则将其移除，作为 CVE-2026-29169 的临时缓解措施。
4. 在本地用户访问受到关注的环境中，审核.htaccess权限以限制 CVE-2026-24072 的暴露。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Apache HTTP 服务器严重漏洞使数百万台服务器面临远程代码执行攻击风险》