فایروال برنامه کاربردی وب Akamai (WAF) برای دفع حملات احتمالی مانند انکار سرویس توزیع شده (DDoS) در نظر گرفته شده است، اما یک محقق راهی برای دور زدن حفاظت های آن با استفاده از بارهای پیچیده برای به هم ریختن قوانین آن کشف کرد.
این محقق که به نام پیتر اچ شناخته می شود، همراه با عثمان منشا، گفت که Akamai از آن زمان به بعد این آسیب پذیری را اصلاح کرده است، که شماره CVE به آن اختصاص داده نشده است. در این نوشته، پیتر اچ توضیح داد که چگونه از یک نسخه آسیب پذیر استفاده کرده است چکمه بهاری دور زدن حفاظت های WAF.
"ما در نهایت توانستیم Akamai WAF را دور بزنیم و به اجرای کد از راه دور (P1) با استفاده از تزریق زبان Spring Expression در برنامهای که Spring Boot را اجرا میکند، دست یابیم.» توضیح GitHub درباره Akamai WAF RCE پیدا توضیح داده شده است. "این دومین RCE از طریق SSTI بود که در این برنامه پیدا کردیم، بعد از برنامه اول، برنامه یک WAF را اجرا کرد که ما توانستیم در قسمت دیگری از برنامه دور بزنیم."
