En ny kritisk sårbarhet i Apache HTTP/2, CVE-2026-23918, beskrives som mulig å utnytte til tjenestenekt (DoS) og i enkelte scenarioer fjernkjøring av kode (RCE), ifølge The Hacker News.
Saken er høyprioritet fordi Apache HTTP/2 brukes bredt i offentlig webinfrastruktur. Selv når RCE ikke er bekreftet i alle miljøer, er risikoen for DoS alene nok til at driftsteam bør prioritere patching og risikoreduserende tiltak raskt.
For virksomheter betyr dette at klassiske kontrolltiltak må aktiveres…
For virksomheter betyr dette at klassiske kontrolltiltak må aktiveres umiddelbart: kartlegging av eksponerte tjenester, midlertidige WAF/regler ved behov, og rask validering av oppdateringer i produksjon. I praksis er tidsvinduet mellom offentlig omtale og aktiv skanning ofte kort.
Det viktigste de neste timene er å følge offisielle leverandørmeldinger for eksakt påvirket versjonsrom og anbefalt oppgraderingssti.