Múltiples vulnerabilidades en el WAF de AWS Mar, 30/06/2026 - 09:45

        Aviso

Recursos Afectados
          AWS Application Load Balancer (CVE-2026-13763)Amazon CloudFront (CVE-2026-13762)

Descripción
          AWS ha publicado 2 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante omitir reglas administradas por AWS WAF.

Identificador
          INCIBE-2026-463

Solución
          CVE-2026-13763: este problema solo afecta a los grupos de destino HTTP/2 de ALB. Para solucionarlo, los clientes deben habilitar la configuración del grupo de destino "Inspeccionar después de datos suficientes" asociada a un balanceador de carga ALB. CVE-2026-13762: este problema se solucionó en el servidor, no se requiere ninguna acción por parte del cliente.

Detalle
          CVE-2026-13763 y CVE-2026-13762: la interpretación incorrecta de las solicitudes HTTP/2 podría permitir que actores remotos eludan parcialmente la inspección del cuerpo de las solicitudes mediante peticiones HTTP/2 especialmente manipuladas que fragmentan el contenido en múltiples tramas, provocando que únicamente una parte del cuerpo de la solicitud sea analizada por el WAF. 

        4 - Alta

  Listado de referencias

          CVE-2026-13762 and CVE-2026-13763 - Issue with HTTP/2 multi-frame request body inspection in AWS WAF

Etiquetas

        Aviso
        Cloud
        Vulnerabilidad

CVE

                        Identificador CVE
                        Severidad
                        Explotación
                        Fabricante

                  CVE-2026-13763
                  Alta
                  Si
                  AWS

                  CVE-2026-13762
                  Alta
                  Si
                  AWS

Llegir l'article original