漏洞介绍

漏洞编号:CVE-2026-23918

漏洞类型:远程代码执行 (RCE) / 内存损坏

危险等级:关键 (Critical)

影响版本:Apache HTTP Server < 2.4.6x(具体视你当前分支而定)

漏洞影响

该漏洞存在于 httpd 处理特定畸形 HTTP/2 或管道化请求的逻辑中。攻击者可以通过发送精心构造的请求包,触发内存溢出,从而

  1. 直接获取系统权限(远程执行命令);
  2. 导致服务彻底崩溃(拒绝服务攻击 DoS)。

解决方案

立即升级:请将 httpd 升级至官方发布的最新稳定版(建议 2.4.67 或更高版本,视最新发布为准)。

临时缓解(如无法立即重启升级)

在配置文件中暂时关闭 HTTP/2 协议支持:

ApacheProtocols http/1.1检查并限制 LimitRequestFieldSize 等相关缓冲区指令。