Akamais nettapplikasjonsbrannmur (WAF) er ment å avverge potensielle angrep som distribuert denial-of-service (DDoS), men en forsker oppdaget en måte å omgå beskyttelsen ved å bruke komplekse nyttelaster for å forvirre reglene.
Forskeren, kjent som Peter H., sammen med Usman Mansha, sa at Akamai siden har lappet mot sårbarheten, som ikke ble tildelt et CVE-nummer. I oppskriften forklarte Peter H. hvordan han brukte en sårbar versjon av Vårstøvel å omgå WAF-beskyttelse.
"Vi endte opp med å omgå Akamai WAF og oppnå Remote Code Execution (P1) ved å bruke Spring Expression Language-injeksjon på en applikasjon som kjører Spring Boot,» GitHub-forklaringen til Akamai WAF RCE finne forklart. "Dette var den andre RCE via SSTI vi fant på dette programmet, etter det første implementerte programmet en WAF som vi var i stand til å omgå i en annen del av applikasjonen."
