Az Akamai webalkalmazások tűzfalának (WAF) az a célja, hogy kivédje a potenciális támadásokat, például az elosztott szolgáltatásmegtagadást (DDoS), de egy kutató felfedezte a módját, hogy megkerülje a védelmet azáltal, hogy összetett hasznos adatokat használ a szabályok összekeverésére.
A Peter H. néven ismert kutató Usman Manshával együtt elmondta, hogy Akamai azóta javított a sérülékenység ellen, amelyhez nem rendeltek CVE-számot. Az írásban Peter H. elmagyarázta, hogyan használta a sebezhető verziót Tavaszi bakancs Megkerülni WAF védelem.
"Végül sikerült megkerülnünk az Akamai WAF-ot, és elértük a távoli kódvégrehajtást (P1) a Spring Expression Language injekció segítségével egy Spring Bootot futtató alkalmazáson” – olvasható a GitHubban. Akamai WAF RCE megmagyarázva talál. "Ez volt a 2. SSTI-n keresztüli RCE, amelyet ezen a programon találtunk, az első után a program olyan WAF-ot implementált, amelyet az alkalmazás egy másik részében meg tudtunk kerülni."
