Die Lücke CVE-2026-49975 erhielt einen CVSS-Wert von 7,5 und erlaubt Angreifern, Datenverkehr massiv zu verstärken, um Denial-of-Service-Angriffe auszulösen. Der Angriff kombiniert zwei ältere Funktionen von HTTP/2 auf ungewöhnliche Weise. Laut Quelltext wurde die Schwachstelle im Frühjahr von Quang Luong von Calif unter Nutzung von OpenAI Codex gefunden.

Besonders relevant ist die Reichweite der betroffenen Infrastruktur. Nach einem ersten Shodan-Scan von Calif unterstützen mehr als 880.000 Websites HTTP/2 und setzen zugleich auf einen verwundbaren Servertyp. Genannt werden nginx, Apache httpd, Microsoft IIS, Envoy und Cloudflare Pingora. Die jeweiligen Anbieter haben bereits Korrekturen veröffentlicht oder Gegenmaßnahmen angekündigt, Organisationen sollen verfügbare Updates so schnell wie möglich einspielen.

Kurz nach der Veröffentlichung von CVE-2026-49975 berichtete Imperva, dass Angreifer im Internet bereits „spezialisierte Werkzeuge zur Kartierung“ verwundbarer Server einsetzten. Größere beobachtbare HTTP/2-Bomb-Angriffe gab es in den zwei Wochen danach laut Pascal Geenens, Director of Threat Intelligence bei Radware, allerdings noch nicht. Er hält es für möglich, dass Bedrohungsakteure bereits viele andere Wege für DoS-Angriffe haben. Zugleich weist er darauf hin, dass ein funktionierender Proof of Concept öffentlich verfügbar und leicht auszuführen sei; auf Angreiferseite seien dafür nur geringe Ressourcen nötig.

Bei den Patches zeigt sich ein uneinheitliches Bild. Nginx und Apache hatten das Problem bereits vor der öffentlichen Bekanntmachung behoben. Envoy veröffentlichte seinen Fix einen Tag nach der Publikation. Microsoft brauchte eine weitere Woche und lieferte seine Maßnahme am Patch Tuesday in der vergangenen Woche aus. Cloudflare hat die Schwachstelle bislang noch nicht gepatcht.

CyCognito betont, dass die Lücke keine einzelne Branche bevorzugt, sondern allgemeine Web-Infrastruktur trifft. Marketing-Vizepräsident Igal Zeifman schätzt, dass zwischen 80 und 90 Prozent der Kunden seines Unternehmens betroffen sind. Er bezeichnet die Schwachstelle als eine „Jedermann-Schwachstelle“. Gleichzeitig zeigen die Daten von CyCognito, dass einige Sektoren stärker betroffen sind, weil sie überdurchschnittlich viele mit dem Internet verbundene Server betreiben.

Nach den Scans des Unternehmens gehört etwa ein Viertel der verwundbaren Server zu Organisationen aus der Kommunikationsbranche, also Telekommunikation, Medien und Content-Unternehmen, die große Datenströme verwalten und daher auf das schnellere HTTP/2 angewiesen sind. Dahinter folgen IT mit 18 Prozent und das Gesundheitswesen mit 17 Prozent. Die Forscher schreiben, das Muster deute auf einen einzigen zugrunde liegenden Treiber hin: Die betroffene Komponente sei allgemeine Web-Infrastruktur. Apache httpd und nginx stünden branchenübergreifend vor Anwendungen, oft seit Jahren in Betrieb und nach stabiler Einrichtung selten noch einmal angefasst.

Technisch nutzt HTTP/2 Bomb zwei Funktionen, die eigentlich Bandbreite sparen sollen: HPACK und die Flusskontrolle. Vereinfacht beschrieben kann ein Angreifer einen stetigen Strom sehr kleiner Anfragen senden, der den Server dazu zwingt, größere Header-Strukturen aufzubauen. Gleichzeitig blockiert er die Möglichkeit des Servers, Antworten zurückzusenden, wodurch Speicher für immer neue Anfragen frei bleibt. Laut Quelltext kann so selbst ein Laptop in einem Heim-WLAN einen nginx-Server in 45 Sekunden oder Envoy in 10 Sekunden außer Gefecht setzen.