// proyectos / HTTP2BombCheck

HTTP/2 Bomb Check

Comprueba si un servidor web es vulnerable a CVE-2026-49975 leyendo la cabecera Server que devuelve.

No se permiten direcciones privadas, loopback ni endpoints de metadata cloud.

Protegido por reCAPTCHA · Privacidad · Términos

¿Qué es CVE-2026-49975?

Conocida como HTTP/2 Bomb, encadena una bomba de descompresión HPACK (amplificación ≈ 4.000×) con retención de ventana de flujo estilo Slowloris. Provoca agotamiento de memoria en el servidor con apenas 100 Mbps de ancho de banda — basta un PC doméstico.

Servidores afectados conocidos

  • Apache HTTP Server < 2.4.64 (parcheado en 2.4.64, finales de mayo 2026)
  • NGINX previo a abril 2026 (revisar advisory de F5)
  • Microsoft IIS — sin parche público
  • Envoy — sin parche público
  • Cloudflare Pingora — sin parche público

Esta comprobación se basa exclusivamente en la cabecera Server declarada por el host. Un servidor puede haber sido parcheado mediante un módulo, un WAF o un balanceador sin que la cabecera lo refleje, y viceversa. Úsalo como indicador, no como auditoría.