Firewall aplikasi web (WAF) Akamai dimaksudkan untuk menangkis serangan potensial seperti penolakan layanan terdistribusi (DDoS), tetapi seorang peneliti menemukan cara untuk melewati perlindungannya dengan menggunakan muatan kompleks untuk mengacaukan aturannya.
Peneliti, yang dikenal sebagai Peter H., bersama dengan Usman Mansha, mengatakan Akamai sejak saat itu telah menambal kerentanan, yang tidak diberi nomor CVE. Dalam tulisannya, Peter H. menjelaskan bagaimana dia menggunakan versi rentan dari Sepatu bot musim semi untuk memotong perlindungan WAF.
"Kami akhirnya dapat mem-bypass Akamai WAF dan mencapai Remote Code Execution (P1) menggunakan injeksi Spring Expression Language pada aplikasi yang menjalankan Spring Boot,โ penjelasan GitHub tentang Akamai WAF RCE menemukan dijelaskan. โIni adalah RCE ke-2 melalui SSTI yang kami temukan di program ini, setelah yang pertama, program menerapkan WAF yang dapat kami lewati di bagian aplikasi yang berbeda.โ
