CVE-2026-13762 e CVE-2026-13763 - Problema con l’ispezione del corpo della richiesta multi-frame HTTP/2 in AWS WAF
ID bollettino: 2026-048-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 29/06/2026 13:15 PDT
Descrizione:
AWS Web Application Firewall (AWS WAF) è un firewall per applicazioni web che monitora le richieste HTTP(S) inoltrate alle risorse protette dell’applicazione web. Abbiamo identificato CVE-2026-13762 e CVE-2026-13763, dei problemi che riguardano l’ispezione del corpo della richiesta multi-frame HTTP/2 da parte di AWS WAF.
CVE-2026-13762 interessa la distribuzione di AWS WAF con CloudFront. Questo problema è stato risolto sul lato server; non è richiesta alcuna azione da parte del cliente.
CVE-2026-13763 interessa la distribuzione di AWS WAF con AWS Application Load Balancer (ALB). In determinate condizioni, una richiesta HTTP/2 multi-frame predisposta potrebbe causare l’ispezione solo di una parte del corpo della richiesta. Questo problema è stato risolto su ALB e i clienti possono assicurarsi una protezione completa configurando il modo in cui AWS WAF ispeziona i corpi delle richieste HTTP/2 sul proprio ALB.
Risoluzione:
il 22 maggio 2026 abbiamo rilasciato una nuova opzione di configurazione su ALB in grado di risolvere questo problema. Consigliamo ai clienti di rivedere e aggiornare il comportamento di ispezione del traffico HTTP/2 in AWS WAF negli attributi del gruppo di destinazione per gli endpoint HTTP/2. Ciò consente ad ALB di accumulare i frame dei dati HTTP/2 prima che AWS WAF esegua l’ispezione. Per istruzioni dettagliate, consulta la guida per gli sviluppatori.
Soluzioni alternative:
non sono disponibili soluzioni alternative.
Riferimenti:
Ringraziamenti:
ringraziamo Kyungrok Choi, Woonghee Lee e Junbeom Hur della Korea University ISSLab per aver collaborato su questi temi attraverso il processo coordinato di divulgazione delle vulnerabilità.
In caso di domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.