"VU#767506: Las implementaciones de HTTP/2 son vulnerables al ataque de denegación de servicio "MadeYouReset" a través de marcos de control de HTTP/2"
Una vulnerabilidad recientemente descubierta, conocida como 'MadeYouReset' (CVE-2025-8671), afecta a numerosas implementaciones de HTTP/2. Esta falla permite ataques de denegación de servicio (DoS) al explotar una discrepancia en la forma en que se manejan los restablecimientos de flujo. La vulnerabilidad surge porque, aunque las especificaciones de HTTP/2 consideran que un flujo restablecido está cerrado, muchas implementaciones de servidor siguen procesando la solicitud internamente. Esta discrepancia significa que un cliente puede desencadenar un número ilimitado de solicitudes concurrentes en una sola conexión. Los atacantes pueden aprovechar esto enviando rápidamente marcos de restablecimiento, lo que causa agotamiento de recursos en el servidor. El impacto principal es el potencial para ataques de denegación de servicio distribuidos (DDoS), lo que lleva a la sobrecarga del servidor o al agotamiento de memoria. Aunque HTTP/2 tiene una configuración para el número máximo de flujos concurrentes, los flujos restablecidos no se tienen en cuenta dentro de este límite. Esta vulnerabilidad es similar al ataque 'Rapid Reset' (CVE-2023-44487). Varios proveedores han lanzado parches y se aconseja a los usuarios que los apliquen. CERT/CC recomienda que los proveedores revisen sus implementaciones de HTTP/2 y limiten los RST_STREAM enviados por el servidor. Se pueden encontrar estrategias de mitigación adicionales en los informes de la vulnerabilidad.