Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en el WAF de AWS

Fecha de publicación 30/06/2026
Identificador
INCIBE-2026-463
Importancia
4 - Alta
Recursos Afectados
  • AWS Application Load Balancer (CVE-2026-13763)
  • Amazon CloudFront (CVE-2026-13762)
Descripción

AWS ha publicado 2 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante omitir reglas administradas por AWS WAF.

Solución

CVE-2026-13763: este problema solo afecta a los grupos de destino HTTP/2 de ALB. Para solucionarlo, los clientes deben habilitar la configuración del grupo de destino "Inspeccionar después de datos suficientes" asociada a un balanceador de carga ALB. 

CVE-2026-13762: este problema se solucionó en el servidor, no se requiere ninguna acción por parte del cliente.

Detalle

CVE-2026-13763 y CVE-2026-13762: la interpretación incorrecta de las solicitudes HTTP/2 podría permitir que actores remotos eludan parcialmente la inspección del cuerpo de las solicitudes mediante peticiones HTTP/2 especialmente manipuladas que fragmentan el contenido en múltiples tramas, provocando que únicamente una parte del cuerpo de la solicitud sea analizada por el WAF.

 

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-13763 Alta Si AWS
CVE-2026-13762 Alta Si AWS
Listado de referencias
CVE-2026-13762 and CVE-2026-13763 - Issue with HTTP/2 multi-frame request body inspection in AWS WAF
Etiquetas