Falha Crítica no Apache HTTP/2 (CVE-2026-23918) Permite DoS e Potencial RCE

A CVE-2026-23918 (CVSS 8.8) é uma falha de double-free no caminho de limpeza de stream do mod_http2 do Apache httpd 2.4.66 (h2_mplx.c). Ela é acionada quando um cliente envia um frame HEADERS imediatamente seguido por um RST_STREAM no mesmo stream antes que o multiplexador o registre, fazendo com que o mesmo ponteiro h2_stream seja adicionado duas vezes ao array de limpeza "spurge". Os pesquisadores Bartlomiej Dmitruk (Striga.ai) e Stanislaw Strzalkowski (ISEC.pl) demonstraram um DoS trivial contra qualquer implementação padrão do mod_http2 com um MPM multi-threaded, além de uma prova de conceito (PoC) de RCE x86_64 funcional. Esta PoC explora a reutilização de mmap para injetar um h2_stream falso e utiliza o scoreboard de endereço fixo do Apache para chamar system(), sendo o caminho de RCE prático em sistemas derivados de Debian e na imagem oficial do httpd Docker devido ao padrão do alocador mmap da APR. Os defensores devem atualizar para a versão 2.4.67 imediatamente. O mod_http2 está incluído nas builds padrão, e a configuração prefork MPM é a única não afetada.