Microsoft corrigió en su Patch Tuesday de junio de 2026 una de las vulnerabilidades más serias del año para sistemas Windows. CVE-2026-47291 vive en HTTP.sys, el driver de kernel que atiende el tráfico HTTP en Windows. Como es código que corre en modo kernel y está por debajo de IIS, WinRM, WCF y casi cualquier servicio que escuche peticiones HTTP, un fallo aquí tiene un alcance enorme.
Qué pasa exactamente
HTTP.sys calcula el tamaño total de una petición usando aritmética de 16 bits. Cuando el bloque de cabeceras de una petición alcanza o supera los 65.535 bytes, ese cálculo se desborda (CWE-190, integer overflow) y el valor da la vuelta a un número pequeño. El driver reserva entonces un buffer en el heap del kernel mucho menor que los datos que va a copiar, y se produce un desbordamiento de búfer dentro de la memoria del kernel.
Un atacante remoto, sin autenticarse y sin que nadie haga clic en nada, puede mandar una petición HTTP cuidadosamente construida para disparar ese desbordamiento. El resultado en el peor de los casos es ejecución de código con privilegios de kernel: control total de la máquina. La puntuación CVSS del aviso es 9.8.
A quién afecta
El driver está presente en prácticamente todo el catálogo de Windows en soporte: Windows 10 (1607, 1809, 21H2, 22H2), Windows 11 (23H2, 24H2, 25H2, 26H1) y Windows Server 2012, 2012 R2, 2016, 2019, 2022 y 2025, incluidas las instalaciones Server Core. Cualquier servicio que use HTTP.sys —IIS, WinRM, WCF, servicios web propios— queda expuesto.
Hay un matiz que cambia mucho la foto. El umbral que dispara el fallo son 65.535 bytes, pero el límite que Windows trae de fábrica para una petición es MaxRequestBytes = 16.384. Con ese valor por defecto la petición ni siquiera llega al tamaño necesario para provocar el desbordamiento. Solo son explotables los sistemas donde alguien ha subido manualmente MaxRequestBytes por encima de 65.535, algo que se hace a veces para aceptar cabeceras grandes (tokens Kerberos voluminosos, ciertos flujos de autenticación). En el momento de la divulgación no había constancia de explotación en el mundo real.
Cómo protegerte
Lo primero es instalar la actualización de seguridad de Microsoft de junio de 2026 para tu versión de Windows. Eso elimina la causa raíz.
Si por lo que sea no puedes parchear de inmediato, revisa esta clave del registro:
HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\MaxRequestBytesSi el valor es mayor de 65.535, bájalo por debajo de ese número y reinicia el servicio HTTP. Si la clave no existe o conserva el valor por defecto, no necesitas tocar nada: tu sistema no está en el rango explotable. Aun así, parchea en cuanto puedas, porque la mitigación del registro solo cierra la vía de entrada conocida y no arregla el bug subyacente.
Esta no fue la única RCE crítica con CVSS 9.8 del mismo paquete: el Patch Tuesday de junio de 2026 batió el récord de Microsoft con cerca de 200 CVE corregidas y varios zero-days, así que merece la pena aplicar el lote completo y no solo este parche suelto. Si gestionas servidores Windows en producción, este es de los que conviene priorizar.