ID del boletín: 2026-043-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 12/06/2026 11:45 h PDT

Descripción:

AWS Common Runtime aws-c-http es una biblioteca cliente HTTP utilizada por los SDK de AWS para gestionar solicitudes HTTP a los servicios de AWS. Identificamos la CVE-2026-12043, una vulnerabilidad por la cual el manejo incorrecto de las actualizaciones del tamaño de la tabla dinámica HPACK en la biblioteca AWS Common Runtime aws-c-http podría permitir que un actor remoto que opere un servidor provoque corrupción de memoria en una aplicación cliente que se conecte a él, lo que podría derivar en la ejecución arbitraria de código mediante una secuencia especialmente diseñada de tramas HEADERS de HTTP/2.

Versiones afectadas: aws-c-http >= 0.4.22 Y <= 0.10.15

Expuesta en las siguientes versiones de los SDK:

• aws-sdk-cpp >= 1.11.41, <= 1.11.814
• aws-sdk-java-v2 >= 2.44.27, <= 2.44.14

Resolución:

Este problema fue abordado en la versión 0.11.0 de aws-c-http. Recomendamos actualizar a la versión más reciente y verificar que cualquier código derivado o bifurcado incorpore las nuevas correcciones.

Soluciones alternativas:

Fuerce el uso de conexiones HTTP/1.1, si están disponibles.

Referencias:

• CVE-2026-12043
• GHSA-rmjr-3qpm-vh98

Si tiene alguna pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.