CVE-2026-49975

Nome do Software Vulnerável e Versões Afetadas Apache HTTP Server (versões afetadas não especificadas) mod http2 versões anteriores a 2.0.41

Descrição O Apache HTTP Server processa incorretamente certos cabeçalhos de cookie em sua implementação HTTP/2, levando a uma negação de serviço. Este problema, conhecido como HTTP/2 Bomb, encadeia duas técnicas: amplificação de compressão HPACK e retenção de recursos no estilo Slowloris via interrupção de controle de fluxo HTTP/2. A amplificação de compressão HPACK ocorre quando um cabeçalho é inserido na tabela dinâmica HPACK e referenciado repetidamente, fazendo com que o servidor aloque quantidades crescentes de memória. A interrupção do controle de fluxo impede que o servidor libere essa memória ao anunciar uma janela de controle de fluxo de zero bytes e enviar frames WINDOW UPDATE pequenos para evitar timeouts. Isso permite que um único cliente com uma conexão de internet doméstica esgote dezenas de gigabytes de memória do servidor em segundos. Mais de 880.000 sites estão potencialmente expostos.

Recomendações Atualize o mod http2 para a versão 2.0.41. Desative completamente o HTTP/2 se a atualização não for viável. Restrinja o acesso ao endpoint HTTP/2 vulnerável usando um proxy reverso ou rede de entrega de conteúdo (CDN) que aplique limites rígidos de contagem de cabeçalhos.