يهدف جدار حماية تطبيقات الويب (WAF) من Akamai إلى صد الهجمات المحتملة مثل رفض الخدمة الموزع (DDoS) ، لكن الباحث اكتشف طريقة لتجاوز إجراءات الحماية الخاصة به باستخدام حمولات معقدة لإرباك قواعده.
قال الباحث ، المعروف باسم Peter H. ، جنبًا إلى جنب مع عثمان مانشا ، إن Akamai قام منذ ذلك الحين بتصحيح الثغرة الأمنية ، والتي لم يتم تخصيص رقم CVE لها. في الكتابة ، أوضح بيتر هـ. كيف استخدم نسخة ضعيفة من التمهيد الربيع لتجاوز حماية WAF.
"انتهى بنا الأمر إلى تجاوز Akamai WAF وتحقيق تنفيذ التعليمات البرمجية عن بُعد (P1) باستخدام إدخال Spring Expression Language على تطبيق يقوم بتشغيل Spring Boot "، شرح GitHub لـ أكاماي واف آر سي إي تجد وأوضح. "كان هذا ثاني RCE عبر SSTI وجدنا في هذا البرنامج ، بعد البرنامج الأول ، نفذ البرنامج WAF الذي تمكنا من تجاوزه في جزء مختلف من التطبيق."