Impatto Sistemico

Critico (79.23)

Sintesi

Aggiornamenti di sicurezza sanano diverse vulnerabilità presenti in Apache HTTP Server, di cui 1 con gravità “critica” e 5 con gravità “alta”, tra cui una con proof of concept (PoC) disponibile. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati e comprometterne la disponibilità.

Tipologia

• Denial of Service
• Remote Code Execution

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE‑2026‑23918, di tipo “Double Free” , con score CVSS v3.1 pari a 8.8, che interessa il modulo HTTP/2 (mod_http2) nel prodotto Apache HTTP Server 2.4.66.

Nel dettaglio, tale vulnerabilità deriva da una doppia deallocazione della memoria (double free) che si verifica durante la gestione della chiusura anticipata di uno stream nel protocollo HTTP/2, causata da specifiche sequenze di richieste opportunamente predisposte che portano alla liberazione duplicata della stessa area di memoria, con conseguente corruzione dell’ heap .

Tale condizione potrebbe permettere, ad un attaccante malintenzionato remoto, di causare la compromissione della disponibilità (DoS) o, in contesti specifici, di eseguire codice arbitrario sui sistemi interessati compromettendone confidenzialità, integrità e disponibilità.

Prodotti e versioni affette

Apache HTTP Server, versione 2.4.66

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili, come indicato nel bollettino di sicurezza riportato nella sezione Riferimenti.