文章总结： ApacheHTTPServermod_http2模块存在双重释放漏洞CVE-2026-23918，因HTTP/2流清理逻辑缺少去重校验，攻击者可通过构造特定帧序列导致内存重复释放。该漏洞可造成服务崩溃，在特定条件下可能实现远程代码执行。影响版本为2.4.66，建议立即升级至2.4.67或更高版本。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,应急响应,WEB安全,解决方案

【漏洞复现】Apache HTTP Server mod_http2 双重释放漏洞（CVE-2026-23918）

信通云服 信通云服

信通云服

2026年5月13日 15:44 海南

在小说阅读器读本章

去阅读

【漏洞描述】

组件介绍

Apache HTTP Server是业界主流开源Web服务软件，常用于网站及业务系统部署；mod_http2是其内置协议模块，用于提供HTTP/2协议支持，负责处理HTTP/2帧交互与流资源管理，默认在2.4.66版本中标配启用，mod_http2是Web服务高效通信的核心组件。

漏洞简介

该漏洞是因为mod_http2模块在处理HTTP/2流清理逻辑时缺少去重校验所致，攻击者无需任何身份验证，只需构造特定顺序的HTTP/2帧请求，发送HEADERS帧后紧接着推送带错误码的RST_STREAM帧，即可造成同一流内存指针被重复释放；可直接引发Apache进程崩溃，造成拒绝服务危害，若满足APR采用mmap内存分配器、服务器开启mod_status暴露固定内存地址且可通过信息泄露拿到关键内存地址等前置条件时，攻击者还能利用内存损坏劫持程序函数指针，进而实现远程代码执行攻击。

【漏洞复现】

用docker搭建漏洞环境

执行命令date >> /tmp/win

【影响范围】

受影响版本：

Apache HTTP Server 2.4.66

【修复建议】

请及时更新至最新版本：

Apache HTTP Server >=2.4.67

【参考链接】

https://nvd.nist.gov/vuln/detail/CVE-2026-23918

https://httpd.apache.org/security/vulnerabilities_24.html

https://github.com/striga-ai/CVE-2026-23918

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信通云服 信通云服 信通云服《【漏洞复现】Apache HTTP Server mod_http2 双重释放漏洞（CVE-2026-23918）》