关于Apache HTTP Server mod_http2 双重释放漏洞（CVE-2026-23918）的预警通报

近日，工作发现最新漏洞威胁：Apache HTTP Server mod_http2 双重释放漏洞CVE-2026-23918

Apache httpd 中存在双重释放漏洞,该漏洞源于 mod_http2 模块在处理 HTTP/2 协议早期重置帧的业务逻辑时存在内存管理缺陷，程序未对内存指针做合法校验与释放状态判断，处理异常 HTTP/2 数据流时对同一堆内存地址执行了两次释放操作，形成典型 Double Free 内存破坏问题，攻击者可远程构造恶意 HTTP/2 请求触发该漏洞，破坏堆内存结构，轻则造成拒绝服务，特定环境下还可借助内存布局可控特性实现远程代码执行。

目前受影响的Apache Http Server版本：

Apache Http Server = 2.4.66

官方已发布最新版本修复该漏洞，建议受影响用户将 Apache HTTP Server 更新到 2.4.67 或更高版本。

参考链接：https://httpd.apache.org/security/vulnerabilities_24.html

请各单位增强网络安全防护意识，立即排查产品使用情况，并督促指导受影响单位及时升级漏洞补丁，消除风险隐患。同时，加强网络安全监测,如发现遭攻击情况及时处置并报告。