메인 콘텐츠로 건너뛰기

CVE-2026-13762 및 CVE-2026-13763 — AWS WAF의 HTTP/2 다중 프레임 요청 본문 검사 문제

공지 ID: 2026-048-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 6월 29일 오후 1시 15분(PDT)

설명:

AWS WAF는 보호받는 웹 애플리케이션 리소스에 대한 HTTP(S) 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽입니다. AWS WAF의 HTTP/2 다중 프레임 요청 본문 검사에 영향을 미치는 CVE-2026-13762CVE-2026-13763 문제를 확인했습니다.

CVE-2026-13762는 CloudFront를 통한 AWS WAF 배포에 영향을 미칩니다. 이 문제는 서버 측에서 해결되었으므로 고객의 조치가 필요하지 않습니다.

CVE-2026-13763은 AWS Application Load Balancer(ALB)를 통한 AWS WAF 배포에 영향을 미칩니다. 특정 조건에서는 조작된 다중 프레임 HTTP/2 요청으로 인해 요청 본문의 검사가 일부에만 적용될 수 있습니다. 이 문제는 ALB에서 해결되었으며, 고객은 AWS WAF가 ALB의 HTTP/2 요청 본문을 검사하는 방법을 구성하여 완전한 보호를 보장할 수 있습니다.

해결 방법:

2026년 5월 22일에 ALB에서 이 문제를 해결하는 새로운 구성 옵션을 출시했습니다. 고객은 HTTP/2 엔드포인트의 대상 그룹 속성에서 WAF HTTP/2 트래픽 검사 동작을 검토하고 업데이트하는 것이 좋습니다. 이를 통해 ALB는 AWS WAF가 검사를 수행하기 전에 HTTP/2 데이터 프레임을 누적할 수 있습니다. 자세한 지침은 개발자 설명서를 참조하세요.

대안:

현재 사용 가능한 대안이 없습니다.

참고 사항:

도움을 주신 분:

조정된 취약점 공개 프로세스를 통해 이러한 문제에 대해 협력해 주신 고려대학교 ISSLab의 최경록, 이웅희, 허준범 님에게 감사드립니다.


보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.