Akamai の Web アプリケーション ファイアウォール (WAF) は、分散型サービス妨害 (DDoS) などの潜在的な攻撃を回避することを目的としていますが、ある研究者は、複雑なペイロードを使用してそのルールを混乱させることで、その保護を回避する方法を発見しました。
Peter H. として知られる研究者は、Usman Mansha とともに、CVE 番号が割り当てられていない脆弱性に対して Akamai がパッチを適用したと述べています。 記事の中で、Peter H. は脆弱なバージョンの 春のブーツ バイパスする WAF 保護.
「最終的に、Akamai WAF をバイパスし、Spring Boot を実行しているアプリケーションで Spring Expression Language インジェクションを使用してリモート コード実行 (P1) を実現することができました。 Akamai WAF RCE 説明を見つけます。 「これは、このプログラムで見つかった SSTI を介した 2 番目の RCE でした。最初の RCE に続いて、プログラムはアプリケーションの別の部分でバイパスできる WAF を実装しました。」
