5月4日，Apache基金会发布2.4.67版网页服务器软件HTTP Server，共修复11个安全漏洞，其中被列为重要（Important）级别的CVE-2026-23918最值得关注。

CVE-2026-23918存在于HTTP Server的HTTP/2通信协议中，是由内存双重释放（Double Free）导致的漏洞，攻击者可能利用该漏洞实施远程代码执行（RCE），CVSS风险评分为8.8分（满分10分），属于高风险级别。

通报该漏洞的安全公司Striga.ai联合创始人Bartlomiej Dmitruk向安全媒体The Hacker News说明了漏洞细节，指出该漏洞不仅可用于执行任意代码，还可能导致网页服务器服务中断（DoS）。Dmitruk强调，利用该漏洞的难度较低：若要实施拒绝服务攻击，攻击者需针对默认配置的mod_http2模块及特定多线程模块（MPM）；若要执行代码，则需配合Apache Portable Runtime（APR）及特定组件才能实现。