بهره‌برداری از بمب HTTP/2 باعث از کار افتادن NGINX، Apache و IIS در عرض چند ثانیه می‌شود — نمونه اولیه (PoC) در GitHub منتشر شده است

یک آسیب‌پذیری تازه افشا شده در پیاده‌سازی‌های سرور HTTP/2 — که «بمب HTTP/2» نام گرفته و با شناسه CVE-2026-49975 ردیابی می‌شود — به مهاجم امکان می‌دهد تا با استفاده از یک سیستم مجهز به اتصال استاندارد اینترنت ۱۰۰ مگابیت بر ثانیه، سرورهای NGINX، Apache HTTP Server، Microsoft IIS، Envoy و Cloudflare Pingora را در عرض چند ثانیه از کار بیندازد. شرکت امنیتی Calif که این نقص را با استفاده از OpenAI Codex کشف کرد، جزئیات آن را در ۲ ژوئن ۲۰۲۶ منتشر کرد. اسکریپت‌های پایتون عمومی به عنوان proof-of-concept در همان روز در GitHub ظاهر شدند.

اهمیت این آسیب‌پذیری به این دلیل است که HTTP/2 پروتکل پیش‌فرض برای سرورهای وب مدرن است — نه یک ویژگی اختیاری که مدیران معمولاً آن را غیرفعال کنند. هر سروری که اتصالات HTTPS را از طریق HTTP/2 با پیکربندی پیش‌فرض بپذیرد، به طور بالقوه در معرض خطر قرار دارد.

نحوه عملکرد حمله

بمب HTTP/2 دو تکنیک را به هم زنجیر می‌کند که هر یک به صورت جداگانه در ادبیات پژوهشی وجود دارند اما پیش از این در یک بهره‌برداری تسلیحاتی ترکیب نشده بودند. اولین تکنیک، گونه‌ای از بمب فشرده‌سازی HPACK است — روشی برای ارسال هدرهایی که هنگام decompress شدن به اندازه‌های عظیم تبدیل می‌شوند و حافظه نامتناسبی را در سرور گیرنده مصرف می‌کنند. دومین تکنیک، یک نگه‌دارش از نوع Slowloris است: کند کردن عمدی اتصال به گونه‌ای که حافظه decompress شده سرور آزاد نشود.

این دو تکنیک با هم، رفتاری خاص در نحوه تخصیص و آزادسازی حافظه توسط پیاده‌سازی‌های سرور HTTP/2 در طول پردازش هدر را بهره‌برداری می‌کنند. مهاجم با ارسال هدرهای فشرده‌سازی شده دستکاری‌شده و سپس نگه داشتن اتصال بدون تکمیل درخواست، باعث تخلیه سریع و پیش‌رونده حافظه در سرور می‌شود. بر خلاف حملات DDoS حجمی که به پهنای باند عظیم نیاز دارند، این بهره‌برداری با توان عملیاتی کم کار می‌کند — محققان Calif با استفاده از تنها ۱۰۰ مگابیت بر ثانیه از یک ماشین، از کار افتادن سرورها را نشان دادند.

چه مواردی وصله شده‌اند، چه مواردی نشده‌اند

تا تاریخ ۶ ژوئن، دو پروژه بزرگ سرور وصله‌هایی منتشر کرده‌اند. NGINX این آسیب‌پذیری را در نسخه ۱.۲۹.۸ برطرف کرد. Apache HTTP Server آن را در mod_http2 نسخه ۲.۰.۴۱ وصله کرد، جایی که CVE به طور رسمی به عنوان CVE-2026-49975 تعیین شده است. گزارش شده است که HAProxy به طور ذاتی در برابر این بهره‌برداری مقاوم است یا می‌توان آن را به گونه‌ای پیکربندی کرد که آن را مسدود کند.

Microsoft IIS، Envoy و Cloudflare Pingora تا تاریخ ۲ ژوئن، زمان افشای اولیه، وصله‌های تأیید شده‌ای منتشر نکرده بودند. Envoy یک موضوع مرتبط را به عنوان CVE-2026-47774 ردیابی می‌کند. مدیرانی که این سرورها را اجرا می‌کنند باید اطلاعیه‌های فروشنده را از نزدیک زیر نظر داشته باشند.

گزینه‌های کاهش خطر

برای سازمان‌هایی که نمی‌توانند فوراً NGINX یا Apache را به‌روز کنند، Calif سه گزینه موقت توصیه می‌کند. اول، سرورهای در معرض خطر را پشت یک reverse proxy، فایروال برنامه وب (WAF) یا load balancer لایه ۷ با محافظت HTTP/2 فعال قرار دهید — HAProxy، در صورت پیکربندی مناسب، می‌تواند حمله را جذب کند. دوم، HTTP/2 را در سطح سرور غیرفعال کنید؛ این کار باعث اختلال در عملکرد می‌شود اما سطح حمله را حذف می‌کند. سوم، محدود کردن نرخ (rate limiting) در پردازش هدر در لایه ورودی اعمال کنید.

غیرفعال کردن HTTP/2 در کل سرور هزینه عملکردی واقعی دارد — این پروتکل به این دلیل وجود دارد که HTTP/1.1 برای بیشتر ترافیک وب به طور معناداری کندتر است — بنابراین باید به عنوان یک اقدام موقت در نظر گرفته شود، نه یک کاهش دائمی.

زاویه OpenAI Codex

افشای Calif اشاره می‌کند که CVE-2026-49975 با استفاده از OpenAI Codex به عنوان یک ابزار تحلیل در طول یک بررسی هدایت‌شده از پیاده‌سازی‌های سرور HTTP/2 کشف شد. این یافته به الگوی رو به رشدی از تحقیقات آسیب‌پذیری با کمک هوش مصنوعی می‌افزاید: همین مدل Claude Opus 4.8 نقص دوبار خرج کردن Zcash Halo2 را که هفته گذشته افشا شد، پیدا کرد و چندین CVE اخیر در پروژه‌های منبع باز پراستقرار، ابزارهای بررسی کد هوش مصنوعی را در کشف خود اعتبار بخشیده‌اند.

این یک مشاهده منفعلانه نیست — این یک پویایی مسابقه تسلیحاتی است. همان ابزارهایی که در دسترس محققان دفاعی هستند در دسترس عوامل تهاجمی نیز هستند. سازمان‌هایی که سرورهای HTTP/2 را اجرا می‌کنند باید در دسترس بودن عمومی کد PoC را به عنوان یک تشدید معنادار خطر مواجهه تلقی کرده و وصله کردن را بر این اساس اولویت‌بندی کنند.