CVE-2026-13762 和 CVE-2026-13763 - AWS WAF 中 HTTP/2 多影格請求正文檢查的問題
公告 ID: 2026-048-AWS
範圍:AWS
內容類型:重要 (需要注意)
發布日期:06/29/2026 13:15 PM PDT
描述:
AWS WAF 是 Web 應用程式防火牆,其監控轉寄給受保護 Web 應用程式資源的 HTTP 請求。我們已發現 CVE-2026-13762 和 CVE-2026-13763,這些問題會影響 AWS WAF 的 HTTP/2 多影格請求正文檢查。
CVE-2026-13762 會影響使用 CloudFront 的 AWS WAF 部署。此問題已在伺服器端修正,不需要客戶採取任何動作。
CVE-2026-13763 會影響使用 AWS Application Load Balancer (ALB) 的 AWS WAF 部署。在某些情況下,精心構造的多影格 HTTP/2 請求只會導致針對部分請求正文的檢查。此問題已在 ALB 上解決,客戶可以設定 AWS WAF 檢查其 ALB 上 HTTP/2 請求正文的方式,以此確保完全防護。
解決方案:
2026 年 5 月 22 日,我們在 ALB 上發布一個新的組態選項,該選項可解決此問題。我們建議客戶檢閱並更新 HTTP/2 端點的目標群組屬性下的 WAF HTTP/2 流量檢查行為。這使 ALB 能夠在 AWS WAF 執行檢查之前累積 HTTP/2 資料影格。如需詳細說明,請參閱開發人員指南。
變通方法:
沒有可用的變通方法。
參考資料:
致謝:
我們在此感謝韓國大學 ISSLab 的 Kyungrok Choi、Woonghee Lee 和 Junbeom Hur 透過協調的漏洞披露程序,針對這些問題與我們合作。
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。