Akamai's webapplicatie-firewall (WAF) is bedoeld om potentiële aanvallen zoals gedistribueerde denial-of-service (DDoS) af te weren, maar een onderzoeker ontdekte een manier om de bescherming te omzeilen door complexe payloads te gebruiken om de regels te verwarren.
De onderzoeker, bekend als Peter H., zei samen met Usman Mansha dat Akamai sindsdien de kwetsbaarheid heeft gepatcht, waaraan geen CVE-nummer was toegewezen. In het artikel legde Peter H. uit hoe hij een kwetsbare versie van gebruikte Lente laars omzeilen WAF-beveiligingen.
"Uiteindelijk konden we Akamai WAF omzeilen en Remote Code Execution (P1) bereiken met behulp van Spring Expression Language-injectie op een applicatie met Spring Boot, "de GitHub-uitleg van de Akamai WAF RCE vinden uitgelegd. "Dit was de 2e RCE via SSTI die we in dit programma vonden, na de 1e implementeerde het programma een WAF die we konden omzeilen in een ander deel van de applicatie."
