رفع آسیبپذیریهای AWS WAF در بازرسی درخواستهای HTTP/2
در تاریخ 29 ژوئن 2026، شرکت آمازون وب سرویسز (AWS) اعلام کرد که دو آسیبپذیری مهم در سرویس AWS WAF (فایروال برنامههای وب) شناسایی و رفع شدهاند. این آسیبپذیریها که با شناسههای CVE-2026-13762 و CVE-2026-13763 ثبت شدهاند، مربوط به نحوه بازرسی بدنه درخواستهای چندفریمی HTTP/2 در AWS WAF هستند.
AWS WAF به عنوان یک فایروال برنامههای وب، وظیفه نظارت و محافظت از منابع وب را در برابر حملات مختلف بر عهده دارد. این سرویس به طور خاص درخواستهای HTTP و HTTPS را بررسی میکند تا از نفوذهای احتمالی جلوگیری کند. با این حال، در بررسیهای امنیتی اخیر، دو نقص در نحوه پردازش درخواستهای HTTP/2 چندفریمی شناسایی شد که میتوانستند منجر به بازرسی ناقص بدنه درخواستها شوند.
آسیبپذیری اول با شناسه CVE-2026-13762 مربوط به استقرار AWS WAF در کنار سرویس CloudFront است. این نقص به گونهای بود که میتوانست باعث شود برخی درخواستها به درستی بررسی نشوند. خوشبختانه، این مشکل به صورت سرور-ساید توسط AWS اصلاح شده است و نیازی به اقدام از سوی مشتریان وجود ندارد.
آسیبپذیری دوم با شناسه CVE-2026-13763 بر استقرار AWS WAF همراه با AWS Application Load Balancer (ALB) تأثیر میگذارد. در شرایط خاص، یک درخواست چندفریمی HTTP/2 دستکاری شده میتوانست باعث شود تنها بخشی از بدنه درخواست مورد بازرسی قرار گیرد که این موضوع میتوانست به نفوذگران امکان عبور از فایروال را بدهد. AWS این مشکل را در سطح ALB برطرف کرده است، اما برای اطمینان از حفاظت کامل، مشتریان باید تنظیمات بازرسی بدنه درخواستهای HTTP/2 در AWS WAF خود را روی ALB بهروزرسانی کنند.
این بهروزرسانیها نشاندهنده اهمیت مداوم بررسی و بهبود امنیت در سرویسهای ابری است، به ویژه در زمینههایی که با حجم بالای ترافیک و درخواستهای پیچیده سروکار دارند. AWS توصیه کرده است که کاربران برای کسب اطلاعات دقیقتر و بهروزتر به مستندات امنیتی مربوطه مراجعه کنند و تنظیمات امنیتی خود را مطابق با راهنماییهای جدید بهروزرسانی نمایند.
با توجه به افزایش روزافزون استفاده از پروتکل HTTP/2 در وبسایتها و برنامههای تحت وب، توجه به نحوه بازرسی و مدیریت درخواستهای چندفریمی اهمیت ویژهای یافته است. این آسیبپذیریها نمونهای از چالشهای فنی و امنیتی هستند که توسعهدهندگان و ارائهدهندگان خدمات ابری باید به طور مستمر به آنها پاسخ دهند.
در نهایت، این اقدامات AWS نشان میدهد که شرکتهای بزرگ فناوری به طور فعال در حال شناسایی و رفع آسیبپذیریها هستند تا امنیت زیرساختهای ابری خود و کاربرانشان را تضمین کنند. کاربران AWS توصیه میشود که ضمن پیگیری اطلاعیههای امنیتی، تنظیمات مربوط به AWS WAF و ALB را به دقت بررسی و بهروزرسانی نمایند تا از حداکثر سطح امنیت بهرهمند شوند.