メインコンテンツに移動

CVE-2026-13762 および CVE-2026-13763 – AWS WAF における HTTP/2 マルチフレームリクエスト本文の検査に関する問題

速報 ID: 2026-048-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 6 月 29 日 13 時 15 分 (PDT)

説明:

AWS WAF は、保護されているウェブアプリケーションのリソースに転送される HTTP(S) リクエストをモニタリングするウェブアプリケーションファイアウォールです。AWS は、AWS WAF による HTTP/2 マルチフレームリクエスト本文の検査に影響する問題である CVE-2026-13762CVE-2026-13763 を特定しました。

CVE-2026-13762 は、CloudFront での AWS WAF のデプロイに影響します。この問題はサーバー側で修正されました。お客様による対応は不要です。

CVE-2026-13763 は、AWS Application Load Balancer (ALB) での AWS WAF のデプロイに影響します。特定の条件下では、細工されたマルチフレーム HTTP/2 リクエストにより、リクエスト本文の一部しか検査されない可能性がありました。この問題は ALB で対処されています。お客様は AWS WAF が ALB で HTTP/2 リクエスト本文をどのように検査するかを設定することで、完全な保護を確保できます。

解決方法:

2026 年 5 月 22 日、AWS は、この問題に対処する ALB の新しい設定オプションをリリースしました。お客様には、HTTP/2 エンドポイントのターゲットグループ属性で WAF HTTP/2 トラフィック検査の動作を確認して更新することをお勧めします。これにより、ALB は AWS WAF が検査を実行する前に HTTP/2 データフレームを蓄積できます。詳細な手順については、デベロッパーガイドを参照してください。

回避策:

利用可能な回避策はありません。

参考情報:

謝辞:

協調的脆弱性開示プロセスを通じてこれらの問題について協力してくださった高麗大学校 ISSlab の Kyungrok Choi 氏、Woonghee Lee 氏、Junbeom Hur 氏に感謝いたします。


セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。