Брандмауер веб-додатків (WAF) Akamai призначений для захисту від потенційних атак, таких як розподілена відмова в обслуговуванні (DDoS), але дослідник знайшов спосіб обійти його захист, використовуючи складні корисні навантаження, щоб заплутати його правила.
Дослідник, відомий як Пітер Х., разом з Усманом Маншею сказав, що Akamai з тих пір виправив уразливість, якій не було присвоєно номер CVE. У статті Пітер Х. пояснив, як він використав уразливу версію Весняний черевик обійти Захист WAF.
"Зрештою, ми змогли обійти Akamai WAF і досягти віддаленого виконання коду (P1) за допомогою ін’єкції Spring Expression Language у програмі, що запускає Spring Boot», — пояснює GitHub до Akamai WAF RCE знайти пояснив. «Це був другий RCE через SSTI, який ми знайшли в цій програмі, після першого програма реалізувала WAF, який ми змогли обійти в іншій частині програми».