つみかさね

CVE-2026-13762

Critical(9.8)

Amazon CloudFront WAF HTTP/2バイパス CVE-2026-13762:影響範囲と対応方法

公開日: 2026-07-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Amazon CloudFront + AWS WAFAmazon Web Services修正前(現在はサーバーサイドで修正済み)

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1CloudFrontを使用している場合: 対応不要(Amazonがサーバーサイドで修正済み)
  2. 2AWS ALBも使用している場合: CVE-2026-13763を確認し、ターゲットグループ設定を変更する

影響対象

Amazon CloudFront + AWS WAF利用者(修正済みのため現在は対応不要)

補足

  • -CloudFront + WAFの組み合わせはサーバーサイドで修正済みのため、顧客側の対応は不要です
  • -ALBを使用している場合はCVE-2026-13763として別途対応が必要です
CVEAWSCloudFrontWAFHTTP/2セキュリティバイパス

30秒で判断

対応すべき人:

  • Amazon CloudFront + AWS WAFを使用している
  • ただし、Amazonがサーバーサイドで修正済みのため、CloudFront利用者はアクション不要

対応不要な人(対応不要の理由):

  • Amazon CloudFrontを使用している全利用者 → サーバーサイドで既に修正されています
  • CloudFrontを使用していない

概要

HTTP/2プロトコルでは、リクエストボディを複数のフレームに分割して送信できます。Amazon CloudFrontにAWS WAFを組み合わせた構成において、攻撃者がリクエストボディを細工してフレームに分割送信することで、WAFのマネージドルールによるボディ検査が一部のフレームにしか適用されず、悪意あるペイロードが検査をすり抜けられる問題です。

この脆弱性はHTTPリクエストの解釈の不一致(CWE-444: HTTP Request/Response Smuggling)に分類されます。WAFがボディ全体を結合する前に部分的な検査のみを行うため、WAFルールが想定通りに動作しない状態になります。

Amazonはこの問題をサーバーサイドで修正済みです。CloudFront利用者は何もしなくても保護されています。


CVSSベクトル

項目
CVSSスコア9.8(Critical)
CWECWE-444(HTTPリクエスト/レスポンスのスマグリング)
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)低 (L)
必要な特権 (PR)なし (N)
ユーザーの関与 (UI)不要 (N)

影響を受けるソフトウェア

製品状態
Amazon CloudFront + AWS WAFサーバーサイドで修正済み

対処状況

Amazonは本脆弱性をサーバーサイドで修正しました。CloudFront利用者側での対応は一切不要です。

類似の脆弱性がAWS ALB + AWS WAFにも存在します(CVE-2026-13763)。ALBを使用している場合はターゲットグループ設定の変更が必要です。


関連リンク


データソース: NVD (NIST), AWS Security AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。