La herramienta de inteligencia artificial Codex descubrió una vulnerabilidad de denegación de servicio remota en el protocolo HTTP/2 que afecta a la mayoría de los grandes servidores web, incluidos nginx, Apache httpd, Microsoft IIS, Envoy y Cloudflare Pingora, en su configuración por defecto. El ataque, bautizado como 'HTTP/2 Bomb', permite a un equipo doméstico con una conexión de 100 Mbps dejar inaccesible un servidor vulnerable en cuestión de segundos.
La vulnerabilidad fue identificada por el investigador Quang Luong, que presentará las técnicas en la conferencia Real World AI Security de Stanford en junio. El exploit combina dos técnicas conocidas durante una década: una bomba de compresión dirigida al esquema HPACK de HTTP/2 y un bloqueo tipo Slowloris mediante una ventana de control de flujo de cero bytes. Una búsqueda en Shodan cifró en más de 880.000 los sitios web compatibles con HTTP/2 que ejecutan alguno de los servidores afectados.
Los datos publicados muestran ratios de amplificación de hasta 5.700:1 en Envoy 1.37.2, 4.000:1 en Apache httpd 2.4.67, 70:1 en nginx 1.29.7 y 68:1 en Microsoft IIS. Un único cliente puede consumir y retener 32 GB de memoria del servidor en unos 20 segundos frente a Apache y Envoy. A diferencia de la bomba HPACK clásica de 2016, esta variante explota la gestión interna por entrada de cada servidor, eludiendo los límites de tamaño decodificado.
nginx corrigió la vulnerabilidad en la versión 1.29.8 con la directiva max_headers; Apache la parchó el mismo día de la notificación mediante mod_http2 v2.0.41, con identificador CVE-2026-49975. Microsoft IIS, Envoy y Cloudflare Pingora carecen aún de parche, por lo que se recomienda desactivar HTTP/2 o interponer un proxy que limite el número de cabeceras por petición.