Se ha publicado un exploit de prueba de concepto (PoC) para CVE-2026-49975, una vulnerabilidad de denegación de servicio en el módulo mod_http2 de Apache HTTP Server apodada «HTTP/2 Bomb». Un atacante remoto sin autenticación puede agotar la memoria del servidor en segundos enviando una única conexión HTTP/2 especialmente construida, dejando el servicio completamente inoperativo.
CVE y severidad
CVE-2026-49975: Severidad alta (vector de explotación remota sin autenticación). La vulnerabilidad afecta al módulo de procesamiento de solicitudes HTTP/2 en Apache HTTP Server, con un impacto directo en la disponibilidad del servicio.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Apache Software Foundation | Apache HTTP Server | Módulo HTTP/2 | 2.4.17 a 2.4.67 (inclusive) |
Solución
Actualizar inmediatamente a Apache HTTP Server 2.4.68 o versiones posteriores, donde la vulnerabilidad ha sido corregida. Si la distribución no entrega aún esta versión por apt/yum, instalar manualmente el módulo mod_http2 v2.0.41 desde el repositorio oficial de Apache.
Recomendaciones
Priorizar la actualización en entornos críticos. Como medida temporal, deshabilitar el protocolo HTTP/2 en servidores donde no sea esencial hasta aplicar la corrección. Monitorear patrones anómalos de consumo de memoria en procesos del servidor como indicador temprano de explotación. En entornos Docker, revisar límites de memoria asignados a los contenedores afectados.