CVE-2026-13762 和 CVE-2026-13763 - AWS WAF 中 HTTP/2 多帧请求正文检查存在问题
公告 ID:2026-048-AWS
范围:AWS
内容类型:重要提示(需要注意)
发布日期:06/29/2026 13:15 PM PDT
描述:
AWS WAF 是一个 Web 应用程序防火墙,可监控转发给受保护 Web 应用程序资源的 HTTP 请求。我们已发现 CVE-2026-13762 和 CVE-2026-13763,这些问题影响 AWS WAF 进行的 HTTP/2 多帧请求正文检查。
CVE-2026-13762 会影响使用 CloudFront 的 AWS WAF 部署。此问题已在服务器端修复;无需客户执行任何操作。
CVE-2026-13763 会影响使用 AWS 应用程序负载均衡器(ALB)进行的 AWS WAF 部署。在某些情况下,蓄意构造的多帧 HTTP/2 请求会导致只检查部分请求正文。此问题已在 ALB 上予以解决,客户可以通过配置 AWS WAF 如何检查其 ALB 上的 HTTP/2 请求正文来确保全面保护。
解决方法:
2026 年 5 月 22 日,我们在 ALB 上发布解决此问题的全新配置选项。我们建议客户在 HTTP/2 端点的目标组属性下查看和更新 WAF HTTP/2 流量检查行为。这使得 ALB 能够在 AWS WAF 执行检查之前累积 HTTP/2 数据帧。有关详细说明,请参阅开发人员指南。
临时措施:
没有可用的临时措施。
参考:
致谢:
我们要感谢高丽大学 ISSLab 的 Kyungrok Choi、Woonghee Lee 和 Junbeom Hur,他们通过协调的漏洞披露流程在这些问题上给予合作。
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。