Pubblicato il 2026-06-29 · Fonte: NVD NIST
La vulnerabilità CVE-2026-13763 riguarda un'interpretazione inconsistente delle richieste HTTP/2 nell'AWS Application Load Balancer con AWS WAF abilitato. Ciò potrebbe consentire ad attaccanti remoti di bypassare l'ispezione del corpo della regola gestita di AWS WAF tramite richieste HTTP/2 appositamente create. Questa vulnerabilità colpisce solo i gruppi di destinazione HTTP/2 ALB. La CVSS Score è di 9.8, classificata come critica.
Un attaccante potrebbe sfruttare questa vulnerabilità per bypassare le regole di sicurezza di AWS WAF, potenzialmente consentendo l'iniezione di codice malevolo o l'accesso non autorizzato a risorse protette. I sistemi a rischio sono quelli che utilizzano l'AWS Application Load Balancer con AWS WAF abilitato e gruppi di destinazione HTTP/2.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, gli utenti possono abilitare la configurazione del gruppo di destinazione 'Inspect after sufficient data' associata al load balancer ALB. Le istruzioni dettagliate sono disponibili nella documentazione ufficiale di AWS al seguente indirizzo: https://docs.aws.amazon.com/elasticloadbalancing/latest/application/edit-target-group-attributes.html#waf-http2-inspection
CVE-2026-13763 è una vulnerabilità di interpretazione inconsistente delle richieste HTTP/2 nell'AWS Application Load Balancer con AWS WAF abilitato.
La CVSS Score di CVE-2026-13763 è 9.8, classificata come critica.
Per proteggersi, è consigliabile abilitare la configurazione 'Inspect after sufficient data' nel gruppo di destinazione associato al load balancer ALB, come descritto nella documentazione ufficiale di AWS.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.