اکامائی کی ویب ایپلیکیشن فائر وال (WAF) کا مقصد ڈسٹری بیوٹڈ ڈینیئل آف سروس (DDoS) جیسے ممکنہ حملوں کو روکنا ہے، لیکن ایک محقق نے اس کے قوانین کو الجھانے کے لیے پیچیدہ پے لوڈز کا استعمال کرکے اس کے تحفظات کو نظرانداز کرنے کا ایک طریقہ دریافت کیا۔
محقق، پیٹر ایچ کے نام سے جانا جاتا ہے، عثمان منشا کے ساتھ، نے کہا کہ اکامائی نے تب سے اس خطرے کے خلاف پیچ کیا ہے، جسے CVE نمبر تفویض نہیں کیا گیا تھا۔ تحریر میں، پیٹر ایچ نے وضاحت کی کہ اس نے کس طرح کا ایک کمزور ورژن استعمال کیا۔ بہار بوٹ بائی پاس کرنا WAF تحفظات.
"ہم اکمائی ڈبلیو اے ایف کو نظرانداز کرنے اور اسپرنگ بوٹ چلانے والی ایپلی کیشن پر اسپرنگ ایکسپریشن لینگویج انجیکشن کا استعمال کرتے ہوئے ریموٹ کوڈ ایگزیکیوشن (P1) حاصل کرنے کے قابل ہو گئے،" کی GitHub وضاحت اکامائی ڈبلیو اے ایف آر سی ای وضاحت کی تلاش. "یہ SSTI کے ذریعے دوسرا RCE تھا جو ہم نے اس پروگرام پر پایا، 2st کے بعد، پروگرام نے WAF کو نافذ کیا جسے ہم درخواست کے مختلف حصے میں نظرانداز کرنے میں کامیاب رہے۔"
