Instituto Nacional de ciberseguridad. Sección Incibe

Un nuevo aviso de seguridad

Múltiples vulnerabilidades en el WAF de AWS

Fecha30/06/2026
Importancia4 - Alta
Recursos Afectados
  • AWS Application Load Balancer (CVE-2026-13763)
  • Amazon CloudFront (CVE-2026-13762)
Descripción

AWS ha publicado 2 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante omitir reglas administradas por AWS WAF.

Solución

CVE-2026-13763: este problema solo afecta a los grupos de destino HTTP/2 de ALB. Para solucionarlo, los clientes deben habilitar la configuración del grupo de destino "Inspeccionar después de datos suficientes" asociada a un balanceador de carga ALB. 

CVE-2026-13762: este problema se solucionó en el servidor, no se requiere ninguna acción por parte del cliente.

Detalle

CVE-2026-13763 y CVE-2026-13762: la interpretación incorrecta de las solicitudes HTTP/2 podría permitir que actores remotos eludan parcialmente la inspección del cuerpo de las solicitudes mediante peticiones HTTP/2 especialmente manipuladas que fragmentan el contenido en múltiples tramas, provocando que únicamente una parte del cuerpo de la solicitud sea analizada por el WAF.