30秒で判断
対応すべき人:
- Amazon CloudFront + AWS WAFを使用している
- ただし、Amazonがサーバーサイドで修正済みのため、CloudFront利用者はアクション不要
対応不要な人(対応不要の理由):
- Amazon CloudFrontを使用している全利用者 → サーバーサイドで既に修正されています
- CloudFrontを使用していない
概要
HTTP/2プロトコルでは、リクエストボディを複数のフレームに分割して送信できます。Amazon CloudFrontにAWS WAFを組み合わせた構成において、攻撃者がリクエストボディを細工してフレームに分割送信することで、WAFのマネージドルールによるボディ検査が一部のフレームにしか適用されず、悪意あるペイロードが検査をすり抜けられる問題です。
この脆弱性はHTTPリクエストの解釈の不一致(CWE-444: HTTP Request/Response Smuggling)に分類されます。WAFがボディ全体を結合する前に部分的な検査のみを行うため、WAFルールが想定通りに動作しない状態になります。
Amazonはこの問題をサーバーサイドで修正済みです。CloudFront利用者は何もしなくても保護されています。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8(Critical) |
| CWE | CWE-444(HTTPリクエスト/レスポンスのスマグリング) |
| 攻撃元区分 (AV) | ネットワーク (N) |
| 攻撃条件の複雑さ (AC) | 低 (L) |
| 必要な特権 (PR) | なし (N) |
| ユーザーの関与 (UI) | 不要 (N) |
影響を受けるソフトウェア
| 製品 | 状態 |
|---|---|
| Amazon CloudFront + AWS WAF | サーバーサイドで修正済み |
対処状況
Amazonは本脆弱性をサーバーサイドで修正しました。CloudFront利用者側での対応は一切不要です。
類似の脆弱性がAWS ALB + AWS WAFにも存在します(CVE-2026-13763)。ALBを使用している場合はターゲットグループ設定の変更が必要です。
関連リンク
データソース: NVD (NIST), AWS Security AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
