NEU HIGH

New HTTP/2 Bomb Vulnerability Allows Remote DoS on NGINX, Apache, IIS, Envoy & Cloudflare

The Hacker News · 3. Juni 2026 um 08:33

Key Insight

Die Schwachstelle betrifft HTTP/2-Standard-Konfigurationen mehrerer Webserver-Hersteller und ermöglicht Remote-DoS ohne authentifizierten Zugriff , ein neu entdecktes Klassifikationsproblem, nicht nur ein Patch.

Beschreibung

Eine neu entdeckte HTTP/2-Bomb-Schwachstelle betrifft Standard-Konfigurationen von NGINX, Apache HTTPD, Microsoft IIS, Envoy und Cloudflare Pingora. Das Protokoll-Design erlaubt es Angreifern, mit speziell konstruierten HTTP/2-Frames eine Denial-of-Service-Bedingung auszulösen, ohne Authentifizierung zu erfordern. Die Schwachstelle wurde von OpenAI Codex identifiziert und zielt auf jede dieser Server ab, sofern HTTP/2 aktiviert ist. Derzeit ist unklar, ob aktive Ausnutzung in freier Wildbahn stattfindet.

Risk Score

cvss base: 0.00
kev bonus: 0.00
epss bonus: 0.00
poc bonus: 15.00
raw before weight: 15.00
industry weight: 1.10
freshness factor: 1.00
days old: 0.00
vendor mismatch penalty: 0.00

Pfad: operational