Akamai veebirakenduste tulemüür (WAF) on mõeldud tõrjuma võimalikke ründeid, nagu hajutatud teenusekeelu (DDoS), kuid teadlane avastas viisi, kuidas selle kaitsest mööda hiilida, kasutades selle reeglite segi ajamiseks keerulisi kasulikke koormusi.
Teadlane, tuntud kui Peter H., koos Usman Manshaga ütles, et Akamai on pärast seda haavatavust parandanud, millele ei määratud CVE-numbrit. Kirjanduses selgitas Peter H., kuidas ta kasutas haavatavat versiooni Kevadine saabas mööda minna WAF-kaitsed.
"Lõppkokkuvõttes suutsime Akamai WAF-ist mööda minna ja saavutada koodi kaugkäivituse (P1), kasutades Spring Expressioni keele süstimist rakenduses, kus töötab Spring Boot,“ selgitab GitHub Akamai WAF RCE leia selgitatud. "See oli teine RCE SSTI kaudu, mille selle programmi kohta leidsime, pärast esimest rakendas programm WAF-i, millest saime rakenduse teises osas mööda minna."
