CVE-2026-13762 und CVE-2026-13763 – Problem bei der Überprüfung von HTTP/2-Request-Bodys über mehrere Frames hinweg in AWS WAF
Bulletin-ID: 2026-048-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 29.06.2026, 13:15 Uhr PDT
Beschreibung:
AWS WAF ist eine Webanwendungs-Firewall, die HTTP(S)-Anfragen überwacht, die an Ihre geschützten Webanwendungsressourcen weitergeleitet werden. Wir haben die Schwachstellen CVE-2026-13762 und CVE-2026-13763 identifiziert, die die Überprüfung von HTTP/2-Request-Bodys über mehrere Frames hinweg durch AWS WAF beeinträchtigen.
CVE-2026-13762 wirkt sich auf die AWS-WAF-Bereitstellung mit CloudFront aus. Dieses Problem wurde serverseitig behoben. Ein Eingreifen des Kunden ist nicht erforderlich.
CVE-2026-13763 wirkt sich auf die AWS-WAF-Bereitstellung mit AWS Application Load Balancer (ALB) aus. Unter bestimmten Bedingungen konnte eine manipulierte HTTP/2-Anfrage über mehrere Frames hinweg dazu führen, dass nur ein Teil des Request-Bodys überprüft wurde. Dieses Problem wurde auf ALB behoben, und Kunden können vollen Schutz gewährleisten, indem sie konfigurieren, wie AWS WAF HTTP/2-Request-Bodys auf ihrem ALB überprüft.
Lösung:
Am 22. Mai 2026 haben wir eine neue Konfigurationsoption für ALB veröffentlicht, mit der dieses Problem behoben wird. Wir empfehlen unseren Kunden, das Verhalten der HTTP/2-Datenverkehrsprüfung durch AWS WAF in den Attributen der Target Group für HTTP/2-Endpunkte zu überprüfen und zu aktualisieren. Dadurch kann ALB HTTP/2-Datenframes sammeln, bevor AWS WAF die Überprüfung durchführt. Ausführliche Anweisungen finden Sie im Entwicklerhandbuch.
Umgehungslösungen:
Es sind keine Problemumgehungen verfügbar.
Referenzen:
Danksagung:
Wir möchten uns bei Kyungrok Choi, Woonghee Lee und Junbeom Hur vom ISSLab der Korea University für die Zusammenarbeit bei diesen Problemen im Rahmen des koordinierten Verfahrens zur Offenlegung von Schwachstellen bedanken.
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.