Akamais webbapplikationsbrandvägg (WAF) är avsedd att avvärja potentiella attacker som distribuerad denial-of-service (DDoS), men en forskare upptäckte ett sätt att kringgå dess skydd genom att använda komplexa nyttolaster för att förvirra dess regler.
Forskaren, känd som Peter H., tillsammans med Usman Mansha, sa att Akamai sedan dess har patchat mot sårbarheten, som inte tilldelades ett CVE-nummer. I artikeln förklarade Peter H. hur han använde en sårbar version av Fjäderkänga att kringgå WAF-skydd.
"Det slutade med att vi kunde kringgå Akamai WAF och uppnå Remote Code Execution (P1) med hjälp av Spring Expression Language-injektion på en applikation som kör Spring Boot," GitHub-förklaringen till Akamai WAF RCE hitta förklarat. "Detta var den andra RCE via SSTI vi hittade på det här programmet, efter det första implementerade programmet en WAF som vi kunde kringgå i en annan del av applikationen."