Die Web Application Firewall (WAF) von Akamai soll potenzielle Angriffe wie Distributed Denial-of-Service (DDoS) abwehren, aber ein Forscher entdeckte eine Möglichkeit, ihren Schutz zu umgehen, indem komplexe Payloads verwendet wurden, um ihre Regeln zu verwirren.
Der Forscher, bekannt als Peter H., sagte zusammen mit Usman Mansha, Akamai habe inzwischen einen Patch gegen die Schwachstelle durchgeführt, der keine CVE-Nummer zugewiesen wurde. In der Beschreibung erklärte Peter H., wie er eine verwundbare Version von verwendete Frühlingsstiefel umgehen WAF-Schutz.
"Wir waren schließlich in der Lage, Akamai WAF zu umgehen und Remote Code Execution (P1) mit Spring Expression Language Injection in einer Anwendung zu erreichen, auf der Spring Boot ausgeführt wird“, so die GitHub-Erklärung von Akamai WAF RCE erklärt finden. „Dies war die zweite RCE über SSTI, die wir in diesem Programm gefunden haben, nach der ersten implementierte das Programm eine WAF, die wir in einem anderen Teil der Anwendung umgehen konnten.“
