L’anomenen HTTP/2 Bomb i fa exactament el que diu el nom: deixa sense memòria un servidor web en qüestió de segons. La fallada, registrada com a CVE-2026-49975, afecta la configuració HTTP/2 per defecte dels servidors més usats d’internet: Apache httpd, nginx, Microsoft IIS, Envoy i Cloudflare Pingora.
Com funciona
L’atac ajunta dues tècniques que feia una dècada que eren públiques per separat. La primera és una bomba de compressió sobre HPACK, l’esquema de compressió de capçaleres d’HTTP/2. Un sol byte enviat per l’atacant es converteix en una capçalera sencera reservada al servidor, i això es repeteix milers de vegades dins d’una mateixa petició. Les ràtios d’amplificació arriben a 5.700:1 en Envoy i a 4.000:1 en Apache httpd.
La segona peça és un truc a l’estil Slowloris sobre el control de flux d’HTTP/2. El client anuncia una finestra de flux de zero bytes, de manera que el servidor mai no arriba a alliberar la memòria que ja ha reservat. La memòria entra i no surt.
Combinades, les xifres fan respecte. A les proves dels investigadors un sol client va esgotar 32 GB de RAM en uns 10 segons contra Envoy 1.37.2, en uns 18 segons contra Apache httpd 2.4.67 i en uns 45 segons contra nginx 1.29.7. En IIS sobre Windows Server 2025 es van consumir 64 GB al voltant de 45 segons. Un ordinador domèstic amb una connexió de 100 Mbps n’hi ha prou per deixar inaccessible un servidor vulnerable.
A qui afecta
A qualsevol servidor amb HTTP/2 activat i sense pegat. Una cerca a Shodan va localitzar més de 880.000 llocs que serveixen HTTP/2 amb algun d’aquests servidors. Molts són darrere d’un CDN, cosa que complica força l’atac, però els que exposen directament el servidor d’origen són objectiu directe.
La gravetat és alta. No hi ha robatori de dades ni execució de codi, però sí una caiguda total del servei provocada per un únic atacant no autenticat, sense interacció de ningú i amb un cost de xarxa ridícul.
Qui la va descobrir
La troballa és de la firma de seguretat ofensiva Calif. El curiós del cas és que les dues meitats de l’atac ja eren conegudes; el que era nou era adonar-se que es componen entre si. Segons els mateixos investigadors, la combinació la va trobar el model Codex llegint el codi dels servidors i veient que tots dos problemes encaixaven, una cosa que en una dècada ningú no havia ajuntat contra aquests servidors.
Mitigació i pegats
Si gestiones servidors web, revisa la versió i actualitza:
- nginx: corregit a 1.29.8, que afegeix la directiva
max_headersamb un límit per defecte de 1000 capçaleres per petició. - Apache httpd: el pegat és a
mod_http22.0.41, disponible a les releases independents del mòdul i a la branca de desenvolupament de httpd.
En el moment de la divulgació, IIS, Envoy i Pingora no tenien pegat disponible. Per a aquests casos val la pena limitar capçaleres i memòria per connexió al balancejador o WAF que tinguis al davant, o servir darrere d’un CDN que ja filtri el patró. Hi ha un PoC públic a GitHub, així que la finestra per posar el pegat es tanca de pressa.