Origine : bjCSIRT

Numéro : 2026/ALERTE/029

APERÇU :

Une vulnérabilité affectant Apache HTTP Server permettrait à un acteur malveillant authentifié de provoquer une exécution de code arbitraire à distance ou un déni de service sur les systèmes affectés. 

DESCRIPTION

Apache HTTP Server est un serveur web open source développé par Apache Software Foundation, largement utilisé pour héberger et distribuer des contenus sur Internet. 

Ce système est affecté par une vulnérabilité libellée CVE-2026-23918 résultant d’une erreur de gestion de la mémoire de type « Double Free » lors du traitement du protocole HTTP/2. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’envoyer des requêtes HTTP/2 spécialement conçues pour corrompre la mémoire du serveur, ce qui pourrait conduire à une exécution de code arbitraire à distance ou à un déni de service.   

Elle est classée élevée avec un score de sévérité de 8.8 selon le CVSS V3.1.

IMPACT

• Exécution de code arbitraire à distance ;
• Atteinte à la confidentialité des données ;
• Compromission de l’intégrité du système ;
• Déni de service (DoS). 

SYSTÈMES AFFECTÉS :

La version 2.4.66 de Apache HTTP Server. 

MESURES À PRENDRE :

Mettre à jour Apache HTTP Server vers sa dernière version stable.

RÉFÉRENCES :

• https://httpd.apache.org/security/vulnerabilities_24.html
• https://thehackernews.com/2026/05/critical-apache-http2-flaw-cve-2026.html
• https://nvd.nist.gov/vuln/detail/CVE-2026-23918
• https://www.securityweek.com/critical-high-severity-vulnerabilities-patched-in-apache-mina-http-server/