Microsoft corrigió en su Patch Tuesday de junio de 2026 un zero-day divulgado públicamente que se conoce como “HTTP/2 Bomb”. El fallo, registrado como CVE-2026-49160, afecta a la implementación HTTP/2 de Windows dentro de HTTP.sys, el driver de modo kernel que atiende las peticiones HTTP del sistema. La puntuación es CVSS 7.5 y se clasifica como gravedad alta.
Qué es y cómo funciona
El problema es de consumo descontrolado de recursos (CWE-400). Un atacante remoto, sin autenticarse y sin interacción de la víctima, puede enviar cantidades muy pequeñas de datos por la red y forzar al servidor a reservar cantidades desproporcionadas de memoria. La asimetría es lo peligroso: poco esfuerzo para el atacante, mucho gasto para el servidor. Cuando esa memoria se agota o el servicio deja de responder, llega la denegación de servicio.
El vector CVSS 3.1 lo resume bien: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Es decir, ataque por red, complejidad baja, sin privilegios ni clic del usuario, y el único impacto es sobre la disponibilidad. No hay robo de datos ni manipulación, pero sí caída del servicio.
HTTP.sys está en el núcleo de muchos servicios de Windows. No hablamos solo de IIS: cualquier componente que dependa de la pila HTTP del sistema queda expuesto. Por eso un fallo aquí tiene un radio de impacto amplio, sobre todo en servidores accesibles desde internet.
A quién afecta
Según el aviso de Microsoft y la entrada de NVD, el problema alcanza a un abanico amplio de versiones: Windows 10 (1607, 1809, 21H2, 22H2), Windows 11 (23H2, 24H2, 25H2, 26H1) en x86, x64 y ARM64, y Windows Server 2016 y posteriores. Los servidores web y de aplicaciones que exponen HTTP/2 a la red son el blanco más realista, porque ahí el ataque se puede lanzar de forma remota y repetida.
Conviene no confundir esta CVE con CVE-2026-49975, otra “HTTP/2 Bomb” del mismo mes que afecta a varios servidores (Apache httpd, nginx, IIS, Envoy, Pingora) combinando compresión HPACK y control de flujo. Comparten idea y apodo, pero son entradas distintas con parches distintos.
Gravedad y mitigación
Que sea un zero-day divulgado públicamente sube la urgencia: los detalles estaban disponibles antes de tener todo el parque actualizado, lo que reduce el margen frente a quien quiera reproducirlo. El impacto se limita a disponibilidad, así que el peor escenario es un servicio caído, no una intrusión. Para un servidor de producción, eso ya es suficiente para actuar rápido.
La mitigación es directa: aplica las actualizaciones de junio de 2026 a través de Windows Update o WSUS, y lleva cada equipo al build mínimo parcheado que indica el aviso de Microsoft para su versión. Si gestionas servidores con HTTP/2 expuesto y no puedes parchear de inmediato, valora limitar la exposición de esos endpoints mientras despliegas la actualización.
Este zero-day formó parte del Patch Tuesday récord de junio de 2026, con cerca de 200 CVE corregidas.
Fuente
- NVD: CVE-2026-49160