Seguir 
Una vulnerabilidad de denegación de servicio recién descubierta, rastreada como CVE-2026-49975, muestra cómo las debilidades del HTTP/2 conocidas desde hace mucho tiempo todavía pueden encadenarse en un ataque moderno altamente efectivo. SecurityWeek informa que investigadores de Calif demostraron un exploit HTTP/2 Bomb capaz de dejar fuera de línea a grandes servidores web en cuestión de segundos, combinando una bomba de compresión con una retención al estilo Slowloris que impide que el servidor libere memoria.
Según el informe, el ataque puede afectar potencialmente a más de 880,000 sitios web que soportan HTTP/2 y ejecutan configuraciones predeterminadas de NGINX, Apache HTTP (Web) Server, Microsoft IIS, Envoy o Cloudflare Pingora. Calif también indicó que el ataque puede lanzarse desde una computadora doméstica con una conexión de 100 Mbps y aún así dejar los servidores afectados inaccesibles en segundos.
Análisis de CVE-2026-49975
SecurityWeek explica que el ataque no se basa en una sola falla nueva, sino en una cadena de técnicas conocidas de denegación de servicio. La primera etapa se apoya en HPACK Bomb, rastreada como CVE-2016-6581, que abusa de la compresión de encabezados HTTP/2 para que mensajes muy pequeños se expandan en estructuras extremadamente grandes que consumen mucha memoria en el servidor de destino. El artículo señala que esta técnica se demostró contra Apache HTTPD el año pasado con un índice de amplificación de 4,000x, y Apache abordó ese problema en la versión 2.4.64 como CVE-2025-53020.
La segunda etapa abusa de CVE-2016-8740 y CVE-2016-1546, dos problemas al estilo Slowloris del HTTP/2 vinculados a cuadros de continuación y ventanas de control de flujo manipuladas. Como describe SecurityWeek, los atacantes pueden anunciar una ventana de control de flujo de cero bytes, impidiendo que el servidor envíe una respuesta, y luego reajustar el tiempo de espera de envío para que las asignaciones de memoria permanezcan ancladas en lugar de liberarse.
Lo que hace notable a esta variante es que, según la explicación de Calif citada por SecurityWeek, la amplificación no proviene de un valor de encabezado decodificado grande. En cambio, proviene de la contabilidad por entrada que el servidor asigna alrededor de encabezados casi vacíos, lo que significa que los límites de tamaño de decodificación tradicionales pueden no detener el ataque porque hay “casi nada que decodificar”. El informe también dice que Calif encontró un bypass para servidores que limitan el conteo de campos de encabezado y publicó código de prueba de concepto para demostrar el ataque.
Mitigación de CVE-2026-49975
SecurityWeek informa que NGINX resolvió el error en abril, mientras que Apache lanzó correcciones a fines de mayo y asignó CVE-2026-49975. Al momento del informe, Microsoft IIS, Envoy y Cloudflare Pingora aún no habían sido parchados.
Desde un punto de vista práctico de defensa, la prioridad a corto plazo más clara es identificar los sistemas expuestos a internet que usan configuraciones predeterminadas de HTTP/2 y verificar si están ejecutando software parcheado. Como el artículo no publica IOC específicos o telemetría de detección profunda, el enfoque más realista es enfocar en servicios HTTP/2 expuestos, picos rápidos de memoria y una inestabilidad repentina del servicio consistente con el agotamiento de memoria. Ese último punto es una inferencia defensiva basada en el comportamiento del ataque descrito en el informe de SecurityWeek.
FAQ
¿Qué es CVE-2026-49975 y cómo funciona?
CVE-2026-49975 es el identificador asignado por Apache para una cadena de ataques de denegación de servicio que combina una bomba de compresión basada en HPACK con una retención al estilo Slowloris de HTTP/2. El resultado es un agotamiento de memoria rápido que puede dejar inoperativos servidores vulnerables en cuestión de segundos.
¿Cuándo se descubrió por primera vez CVE-2026-49975?
El artículo de SecurityWeek no proporciona una fecha de descubrimiento privado. Sí dice que el exploit fue apodado HTTP/2 Bomb, fue descubierto usando Codex de OpenAI, y que NGINX solucionó el problema en abril mientras que Apache lanzó correcciones a fines de mayo.
¿Cuál es el impacto de CVE-2026-49975 en los sistemas?
El impacto principal es la denegación de servicio. SecurityWeek dice que el exploit puede agotar la memoria del servidor y dejar fuera de línea a grandes servidores web en segundos, incluso cuando se lanza desde una conexión doméstica relativamente modesta.
¿Puede CVE-2026-49975 seguir afectándome en 2026?
Sí. Los sistemas todavía pueden estar expuestos en 2026 si ejecutan configuraciones predeterminadas vulnerables de HTTP/2, especialmente en productos que aún no habían sido parchados al momento del informe, incluidos Microsoft IIS, Envoy y Cloudflare Pingora.
¿Cómo puedo protegerme de CVE-2026-49975?
Aplique las soluciones de los proveedores disponibles, revise si su pila web utiliza configuraciones predeterminadas de HTTP/2, y priorice los servidores expuestos a internet para su verificación. Basado en el comportamiento del ataque descrito en SecurityWeek, monitorizar para un consumo anormal de memoria y una degradación abrupta del servicio también es un paso defensivo interino sensato.
