Katalog CVE

CVE-2026-13762

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.44%

Percentyl 35 — wyżej niż 35% wszystkich znanych CVE

Streszczenie

Niespójna interpretacja żądań HTTP/2 w Amazon CloudFront z włączoną usługą AWS WAF może umożliwić zdalnym atakującym ominięcie inspekcji treści zarządzanych reguł AWS WAF poprzez wysyłanie spreparowanych żądań HTTP/2, które fragmentują treść żądania między ramkami, tak że inspekcja obejmuje tylko jej część.

Ocena ryzyka

Ryzyko polega na możliwości przesłania złośliwej treści, która nie zostanie w pełni przeanalizowana przez AWS WAF, co może prowadzić do naruszenia zasad bezpieczeństwa i potencjalnego ataku na aplikację.

Rekomendacja

Zaleca się upewnienie, że środowisko korzysta z najnowszej wersji CloudFront i AWS WAF, ponieważ problem został naprawiony po stronie serwera i nie wymaga działań ze strony klienta.

Oryginalny opis (angielski, źródło NVD)

Inconsistent interpretation of HTTP/2 requests in Amazon CloudFront with AWS WAF enabled might allow remote actors to bypass AWS WAF managed rule body inspection via crafted HTTP/2 requests that fragment the request body across frames so that only a partial body is inspected. This issue was remediated server-side. No customer action is required.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS