Una nueva vulnerabilidad de denegación de servicio remoto, denominada «HTTP/2 Bomb», afecta las configuraciones predeterminadas de HTTP/2 en servidores web ampliamente usados como nginx, Apache httpd, Microsoft IIS, Envoy y Cloudflare Pingora. Este exploit permite a un atacante remotamente consumir decenas de gigabytes de memoria del servidor en segundos mediante la combinación inédita de una bomba de compresión HPACK y una técnica de retención tipo Slowloris, impactando la disponibilidad del servicio.
CVE y severidad
| CVE | Descripción | Fecha de asignación |
|---|---|---|
| CVE-2026-49975 | Vulnerabilidad en Apache httpd que permite una amplificación masiva de memoria mediante manipulación de la compresión de encabezados HTTP/2. |
27 de mayo de 2026 |
Productos afectados
| Fabricante | Producto | Versiones afectadas | Plataformas/SO |
|---|---|---|---|
| F5 Networks (Envoy) | Envoy Proxy | 1.37.2 y anteriores | Multiplataforma |
| The Apache Software Foundation | Apache httpd | Hasta 2.4.67 | Multiplataforma |
| NGINX, Inc. | nginx | Hasta 1.29.7 | Multiplataforma |
| Microsoft Corporation | Microsoft IIS (Windows Server 2025) | No especificado (versiones previas al 2025) | Windows Server 2025 |
| Cloudflare | Cloudflare Pingora | No especificado | Multiplataforma |
Solución
Actualizar nginx a la versión 1.29.8 o superior, aplicar mod_http2 v2.0.41 en Apache httpd o deshabilitar HTTP/2 en sistemas afectados; para Microsoft IIS, Envoy y Cloudflare Pingora se recomienda desactivar HTTP/2 o usar un proxy que limite los encabezados por solicitud.
Recomendaciones
Priorizar la aplicación inmediata de actualizaciones oficiales o deshabilitar HTTP/2 para mitigar esta amenaza. Además, limitar la memoria usada por trabajador mediante cgroups, ulimit -v o límites de contenedores mejora la resiliencia ante ataques de denegación de servicio basados en consumo excesivo de memoria.