Pular para o conteúdo principal

CVE-2026-13762 e CVE-2026-13763: Problema com a inspeção do corpo de requisições HTTP/2 segmentado em vários frames no AWS WAF

ID do boletim: 2026-048-AWS
Escopo: AWS
Tipo de conteúdo: importante (requer atenção)
Data da publicação: 29/06/2026 13h15 PDT

Descrição:

O AWS WAF é um firewall de aplicações Web que monitora as solicitações HTTP(S) encaminhadas para os recursos da sua aplicação Web protegida. Identificamos o CVE-2026-13762 e o CVE-2026-13763, que são problemas que afetam a inspeção do corpo de solicitações de vários quadros do HTTP/2 pelo AWS WAF.

O CVE-2026-13762 afeta a implantação do AWS WAF com o CloudFront. Este problema foi solucionado no lado do servidor; nenhuma ação do cliente é necessária.

O CVE-2026-13763 afeta a implantação do AWS WAF com o AWS Application Load Balancer (ALB). Sob certas condições, uma solicitação HTTP/2 de vários quadros criada pode fazer com que apenas um corpo parcial da solicitação seja inspecionado. Este problema foi resolvido no ALB, e os clientes podem garantir proteção total configurando como o AWS WAF inspeciona os corpos de solicitação HTTP/2 em seu ALB.

Resolução:

Em 22 de maio de 2026, lançamos uma nova opção de configuração no ALB, que resolve o problema. Recomendamos que os clientes revisem e atualizem o comportamento de inspeção de tráfego HTTP/2 do WAF nos atributos do grupo de destino para endpoints HTTP/2. Isso permite que o ALB acumule quadros de dados HTTP/2 antes que o AWS WAF realize a inspeção. Para obter instruções detalhadas, consulte o guia do desenvolvedor.

Soluções alternativas:

Nenhuma solução alternativa está disponível.

Referências:

Reconhecimento:

Gostaríamos de agradecer a Kyungrok Choi, Woonghee Lee e Junbeom Hur, da Korea University ISSlab, por colaborarem nessas questões por meio do processo coordenado de divulgação de vulnerabilidades.


Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.