अकामाई के वेब एप्लिकेशन फ़ायरवॉल (WAF) का उद्देश्य डिस्ट्रीब्यूटेड डिनायल-ऑफ़-सर्विस (DDoS) जैसे संभावित हमलों को रोकना है, लेकिन एक शोधकर्ता ने इसके नियमों को भ्रमित करने के लिए जटिल पेलोड का उपयोग करके इसकी सुरक्षा को बायपास करने का एक तरीका खोजा।
उस्मान मंशा के साथ पीटर एच के नाम से जाने जाने वाले शोधकर्ता ने कहा कि अकामाई ने तब से भेद्यता के खिलाफ समझौता किया है, जिसे सीवीई नंबर नहीं दिया गया था। राइट-अप में, पीटर एच। ने बताया कि कैसे उन्होंने एक कमजोर संस्करण का उपयोग किया वसंत का बूट उपमार्ग को डब्ल्यूएएफ सुरक्षा.
"हम अकामाई WAF को बायपास करने और स्प्रिंग बूट चलाने वाले एप्लिकेशन पर स्प्रिंग एक्सप्रेशन लैंग्वेज इंजेक्शन का उपयोग करके रिमोट कोड एक्ज़ीक्यूशन (P1) प्राप्त करने में सक्षम हो गए," GitHub की व्याख्या अकामाई WAF RCE समझाया गया। "एसएसटीआई के माध्यम से यह दूसरा आरसीई था जिसे हमने इस कार्यक्रम पर पाया, पहले एक के बाद, कार्यक्रम ने एक डब्ल्यूएएफ लागू किया जिसे हम आवेदन के एक अलग हिस्से में बायपास करने में सक्षम थे।"
