Akamais webapplikationsfirewall (WAF) er beregnet til at afværge potentielle angreb som distribueret denial-of-service (DDoS), men en forsker opdagede en måde at omgå dens beskyttelse ved at bruge komplekse nyttelaster til at forvirre reglerne.
Forskeren, kendt som Peter H., sammen med Usman Mansha, sagde, at Akamai siden har rettet mod sårbarheden, som ikke blev tildelt et CVE-nummer. I opskriften forklarede Peter H., hvordan han brugte en sårbar version af Forår støvle at omgå WAF beskyttelse.
"Vi endte med at omgå Akamai WAF og opnå Remote Code Execution (P1) ved hjælp af Spring Expression Language-injektion på en applikation, der kører Spring Boot," GitHub-forklaringen af Akamai WAF RCE finde forklaret. "Dette var den 2. RCE via SSTI, vi fandt på dette program, efter den 1. implementerede programmet en WAF, som vi var i stand til at omgå i en anden del af applikationen."