Seguir 
Uma nova vulnerabilidade de negação de serviço, rastreada como CVE-2026-49975, mostra como fraquezas conhecidas do HTTP/2 ainda podem ser encadeadas em um ataque moderno altamente eficaz. A SecurityWeek relata que pesquisadores da Calif demonstraram uma exploração de HTTP/2 Bomb capaz de derrubar grandes servidores web em segundos ao combinar uma bomba de compressão com um bloqueio estilo Slowloris que impede o servidor de liberar memória.
De acordo com o relatório, o ataque pode potencialmente impactar mais de 880.000 sites que suportam HTTP/2 e executam configurações padrão do NGINX, Apache HTTP(Server Web), Microsoft IIS, Envoy ou Cloudflare Pingora. A Calif também disse que o ataque pode ser lançado a partir de um computador doméstico em uma conexão de 100 Mbps e ainda tornar os servidores afetados indisponíveis em segundos.
Análise CVE-2026-49975
A SecurityWeek explica que o ataque não é construído sobre uma única falha nova, mas sobre uma cadeia de técnicas conhecidas de negação de serviço. A primeira etapa depende de HPACK Bomb, rastreada como CVE-2016-6581, que explora a compressão de cabeçalhos HTTP/2 para que mensagens muito pequenas se expandam em estruturas de memória extremamente grandes no servidor de destino. O artigo observa que essa técnica foi demonstrada contra o Apache HTTPD no ano passado com uma taxa de amplificação de 4.000x, e o Apache abordou esse problema na versão 2.4.64 como CVE-2025-53020.
A segunda etapa explora CVE-2016-8740 e CVE-2016-1546, dois problemas no estilo Slowloris do HTTP/2 ligados a quadros de continuação e janelas de controle de fluxo manipuladas. Conforme descrito pela SecurityWeek, os atacantes podem anunciar uma janela de controle de fluxo de zero byte, impedindo o servidor de enviar uma resposta, e então redefinir o tempo limite de envio para que as alocações de memória permaneçam fixadas em vez de serem liberadas.
O que torna essa variante notável é que, de acordo com a explicação da Calif citada pela SecurityWeek, a amplificação não vem de um valor de cabeçalho decodificado grande. Em vez disso, vem da contabilidade por entrada que o servidor aloca em torno de cabeçalhos quase vazios, o que significa que os limites tradicionais de tamanho decodificado podem não impedir o ataque porque “há quase nada para decodificar”. O relatório também diz que a Calif encontrou uma maneira de contornar servidores que limitam a contagem de campos de cabeçalho e lançou um código de prova de conceito para demonstrar o ataque.
Mitigação CVE-2026-49975
A SecurityWeek relata que o NGINX resolveu o bug em abril, enquanto o Apache implementou correções no final de maio e atribuiu CVE-2026-49975. No momento do relatório, o Microsoft IIS, Envoy e Cloudflare Pingora ainda não haviam sido corrigidos.
Do ponto de vista prático de defesa, a prioridade clara de curto prazo é identificar sistemas voltados para a internet que usam configurações padrão do HTTP/2 e verificar se estão executando software corrigido. Como o artigo não publica IOCs específicos ou telemetria de detecção profunda, a abordagem mais realista é focar em serviços HTTP/2 expostos, picos rápidos de memória e instabilidade de serviço súbita consistente com exaustão de memória. Esse último ponto é uma inferência defensiva baseada no comportamento do ataque descrito no relatório da SecurityWeek.
FAQ
O que é CVE-2026-49975 e como funciona?
CVE-2026-49975 é o identificador atribuído pelo Apache para uma cadeia de ataque de negação de serviço que combina uma bomba de compressão baseada em HPACK com um bloqueio estilo Slowloris do HTTP/2. O resultado é um rápido esgotamento de memória que pode tornar servidores vulneráveis indisponíveis em segundos.
Quando o CVE-2026-49975 foi descoberto pela primeira vez?
O artigo da SecurityWeek não fornece uma data de descoberta privada. Diz que a exploração foi chamada de HTTP/2 Bomb, foi descoberta usando Codex da OpenAI, e que o NGINX resolveu o problema em abril, enquanto o Apache lançou correções no final de maio.
Qual é o impacto do CVE-2026-49975 nos sistemas?
O principal impacto é a negação de serviço. A SecurityWeek diz que a exploração pode esgotar a memória do servidor e derrubar grandes servidores web em segundos, mesmo quando lançado de uma conexão de internet doméstica relativamente modesta.
O CVE-2026-49975 ainda pode me afetar em 2026?
Sim. Os sistemas ainda podem estar expostos em 2026 se executarem configurações padrão vulneráveis do HTTP/2, especialmente em produtos que ainda não haviam sido corrigidos no momento do relatório, incluindo Microsoft IIS, Envoy e Cloudflare Pingora.
Como posso me proteger do CVE-2026-49975?
Aplique as correções de fornecedores disponíveis, reveja se sua pilha web usa configurações padrão de HTTP/2 e priorize servidores voltados para a internet para verificação. Com base no comportamento do ataque descrito na SecurityWeek, monitorar o consumo anormal de memória e a degradação abrupta de serviço também é uma etapa defensiva provisória sensata.
