Katalog CVE

CVE-2026-13763

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.47%

Percentyl 38 — wyżej niż 38% wszystkich znanych CVE

Streszczenie

Niespójna interpretacja żądań HTTP/2 w AWS Application Load Balancer z włączonym AWS WAF może umożliwić zdalnym atakującym ominięcie inspekcji treści reguł zarządzanych AWS WAF poprzez spreparowane żądania HTTP/2, które fragmentują treść żądania między ramkami, co powoduje inspekcję tylko częściowej treści. Problem dotyczy tylko grup docelowych ALB dla HTTP/2.

Ocena ryzyka

Ryzyko polega na możliwości przesłania złośliwej treści, która nie zostanie w pełni sprawdzona przez AWS WAF, co może prowadzić do naruszenia bezpieczeństwa aplikacji, np. wstrzyknięcia kodu SQL lub ataków XSS.

Rekomendacja

Zaleca się włączenie konfiguracji grupy docelowej 'Inspect after sufficient data' dla ALB, aby zapewnić pełną inspekcję treści żądań HTTP/2.

Oryginalny opis (angielski, źródło NVD)

Inconsistent interpretation of HTTP/2 requests in AWS Application Load Balancer with AWS WAF enabled might allow remote actors to bypass AWS WAF managed rule body inspection via crafted HTTP/2 requests that fragment the request body across frames so that only a partial body is inspected. This issue only impacts HTTP/2 ALB target groups. To remediate this issue, customers should enable the "Inspect after sufficient data" target group configuration associated to an ALB load balancer. Refer to: ( https://docs.aws.amazon.com/elasticloadbalancing/latest/application/edit-target-group-attributes.html#waf-http2-inspection )

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS