跳至主要内容

CVE-2026-13762 和 CVE-2026-13763 - AWS WAF 中 HTTP/2 多帧请求正文检查存在问题

公告 ID:2026-048-AWS
范围:AWS
内容类型:重要提示(需要注意)
发布日期:06/29/2026 13:15 PM PDT

描述:

AWS WAF 是一个 Web 应用程序防火墙,可监控转发给受保护 Web 应用程序资源的 HTTP 请求。我们已发现 CVE-2026-13762CVE-2026-13763,这些问题影响 AWS WAF 进行的 HTTP/2 多帧请求正文检查。

CVE-2026-13762 会影响使用 CloudFront 的 AWS WAF 部署。此问题已在服务器端修复;无需客户执行任何操作。

CVE-2026-13763 会影响使用 AWS 应用程序负载均衡器(ALB)进行的 AWS WAF 部署。在某些情况下,蓄意构造的多帧 HTTP/2 请求会导致只检查部分请求正文。此问题已在 ALB 上予以解决,客户可以通过配置 AWS WAF 如何检查其 ALB 上的 HTTP/2 请求正文来确保全面保护。

解决方法:

2026 年 5 月 22 日,我们在 ALB 上发布解决此问题的全新配置选项。我们建议客户在 HTTP/2 端点的目标组属性下查看和更新 WAF HTTP/2 流量检查行为。这使得 ALB 能够在 AWS WAF 执行检查之前累积 HTTP/2 数据帧。有关详细说明,请参阅开发人员指南

临时措施:

没有可用的临时措施。

参考:

致谢:

我们要感谢高丽大学 ISSLab 的 Kyungrok Choi、Woonghee Lee 和 Junbeom Hur,他们通过协调的漏洞披露流程在这些问题上给予合作。


如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com