Уязвимость BDU:2026-06305 (CVE-2026-23918) в Apache HTTP Server

Уязвимость BDU:2026-06305 (CVE-2026-23918) представляет собой критическую ошибку типа «двойное освобождение памяти» (Double Free, CWE-415) в реализации протокола HTTP/2 веб-сервера Apache HTTP Server. Проблема находится в модуле mod_http2, а именно в функции m_stream_cleanup() файла h2_mplx.c. Корень ошибки — в отсутствии проверки на дублирование при добавлении HTTP/2 потока в очередь на очистку (m->spurge).

Опубликовано несколько Proof of Concept — их и будем анализировать.

При определенных условиях гонки, когда клиент отправляет HEADERS, за которым немедленно следует RST_STREAM, поток дважды добавляется в массив spurge. Когда мультиплексор (mplx) впоследствии уничтожается, для одного и того же пула памяти дважды вызывается деструктор APR (apr_pool_destroy), что приводит к аварийному завершению рабочих процессов (worker crash) с последующим отказом в обслуживании (DoS), а при наличии дополнительных условий — потенциально позволяет выполнить произвольный код в контексте процесса веб-сервера.

Анализ уязвимости

Уровень опасности: 8.8 Высокий

Вектор атаки: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

• AV:N (Вектор атаки: Сетевой): Эксплуатация возможна удаленно через сеть.
• AC:L (Сложность атаки: Низкая): Нет сложных условий, достаточно отправить специально сформированный HTTP/2 кадр.
• PR:L (Привилегии: Низкие): В базовом сценарии атаки, приводящем к отказу в обслуживании, злоумышленнику не требуется аутентификация. Для эксплуатации с целью выполнения кода (RCE) это требование условно, так как начальный вектор атаки все равно не требует аутентификации.
• UI:N (Взаимодействие с пользователем: Нет): Атака не требует взаимодействия с пользователем.
• S:U (Влияние на другие компоненты: Не оказывает): Скомпрометированный процесс httpd не оказывает прямого влияния на другие компоненты системы за пределами этого процесса.
• C:H (Конфиденциальность: Высокая): В случае успешного выполнения кода злоумышленник может получить доступ ко всем данным, обрабатываемым веб-сервером, включая содержимое баз данных и файловой системы.
• I:H (Целостность: Высокая): Успешное выполнение кода позволяет злоумышленнику изменять файлы на сервере, внедрять вредоносное ПО, модифицировать веб-страницы.
• A:H (Доступность: Высокая): Как минимум, уязвимость приводит к отказу в обслуживании (DoS) из-за аварийного завершения рабочих процессов. В случае RCE атакующий может полностью остановить сервер.

Условия эксплуатации

Для эксплуатации уязвимости должны совпасть следующие условия:

🔒 Условия эксплуатации и ссылки на эксплоиты — только в закрытом канале

На блоге: CVE, CVSS, вектор атаки — информация из открытых источников.

В канале: уникальный анализ, который позволяет:

• Понять, применима ли уязвимость к вашим системам
• Получить ссылки на эксплоиты для проверки своих систем
• Еженедельно получать разборы новых уязвимостей

Подробнее о канале → | Пример разбора