Múltiples vulnerabilidades en el WAF de AWS Mar, 30/06/2026 - 09:45
Aviso
Recursos Afectados
AWS Application Load Balancer (CVE-2026-13763)Amazon CloudFront (CVE-2026-13762)
Descripción
AWS ha publicado 2 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante omitir reglas administradas por AWS WAF.
Identificador
INCIBE-2026-463
Solución
CVE-2026-13763: este problema solo afecta a los grupos de destino HTTP/2 de ALB. Para solucionarlo, los clientes deben habilitar la configuración del grupo de destino "Inspeccionar después de datos suficientes" asociada a un balanceador de carga ALB. CVE-2026-13762: este problema se solucionó en el servidor, no se requiere ninguna acción por parte del cliente.
Detalle
CVE-2026-13763 y CVE-2026-13762: la interpretación incorrecta de las solicitudes HTTP/2 podría permitir que actores remotos eludan parcialmente la inspección del cuerpo de las solicitudes mediante peticiones HTTP/2 especialmente manipuladas que fragmentan el contenido en múltiples tramas, provocando que únicamente una parte del cuerpo de la solicitud sea analizada por el WAF.
4 - Alta
Listado de referencias
CVE-2026-13762 and CVE-2026-13763 - Issue with HTTP/2 multi-frame request body inspection in AWS WAF
Etiquetas
Aviso
Cloud
Vulnerabilidad
CVE
Identificador CVE
Severidad
Explotación
Fabricante
CVE-2026-13763
Alta
Si
AWS
CVE-2026-13762
Alta
Si
AWS