Saltar al contenido principal

CVE-2026-13762 y CVE-2026-13763: Problema con la inspección del cuerpo de solicitud multimarco de HTTP/2 en AWS Web Application Firewall (AWS WAF)

ID del boletín: 2026-048-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 29/06/2026 13:15 h PDT

Descripción:

AWS WAF es un firewall de aplicaciones web que monitorea las solicitudes HTTP(S) que se reenvían a los recursos de sus aplicaciones web protegidas. Identificamos las vulnerabilidades CVE-2026-13762 y CVE-2026-13763; problemas que afectan a la inspección del cuerpo de solicitudes multimarco de HTTP/2 por parte de AWS WAF.

CVE-2026-13762 afecta a la implementación de AWS WAF con CloudFront. Este problema se solucionó en el servidor. No es necesario que el cliente realice ninguna acción.

CVE-2026-13763 afecta a la implementación de AWS WAF con el equilibrador de carga de aplicación (ALB). En determinadas condiciones, una solicitud HTTP/2 multitrama diseñada podría provocar que solo se inspeccionara una parte del cuerpo de la solicitud. Este problema se solucionó en el ALB y los clientes pueden garantizar una protección total configurando la forma en que AWS WAF inspecciona los cuerpos de solicitud de HTTP/2 en su ALB.

Resolución:

El 22 de mayo de 2026, lanzamos una nueva opción de configuración en el ALB que soluciona este problema. Recomendamos a los clientes que revisen y actualicen el comportamiento de inspección del tráfico HTTP/2 de WAF en los atributos del grupo objetivo para los puntos de conexión HTTP/2. Esto permite al ALB acumular marcos de datos HTTP/2 antes de que AWS WAF realice la inspección. Para obtener instrucciones detalladas, consulte la guía para desarrolladores.

Soluciones alternativas:

No hay soluciones alternativas disponibles.

Referencias:

Reconocimiento:

Nos gustaría dar las gracias a Kyungrok Choi, Woonghee Lee y Junbeom Hur, del ISSLab de la Universidad de Corea, por colaborar en estos temas a través del proceso coordinado de divulgación de vulnerabilidades.


Si tiene alguna pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.