ID do boletim: 2026-043-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 12/06/2026 11:45 PDT

Descrição:

A AWS Common Runtime aws-c-http é uma biblioteca de cliente HTTP utilizada por SDKs da AWS para processar solicitações HTTP a serviços da AWS. Identificamos a vulnerabilidade CVE-2026-12043, um problema em que o tratamento inadequado das atualizações do tamanho da tabela dinâmica do HPACK na biblioteca aws-c-http da AWS Common Runtime pode permitir que um usuário remoto que opera um servidor provoque corrupção de memória em uma aplicação cliente conectada, levando potencialmente à execução de código arbitrário, por meio de uma sequência maliciosa de quadros HTTP/2 HEADERS.

Versões afetadas: aws-c-http >= 0.4.22 E <= 0.10.15

Exposta nas seguintes versões de sdk:

• aws-sdk-cpp >= 1.11.41, <= 1.11.814
• aws-sdk-java-v2 >= 2.44.27, <= 2.44.14

Resolução:

Este problema foi resolvido na aws-c-http versão 0.11.0. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Forçar conexões HTTP/1.1, se disponíveis.

Referências:

• CVE-2026-12043
• GHSA-rmjr-3qpm-vh98

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.