Tường lửa ứng dụng Web (WAF) của Akamai nhằm chống lại các cuộc tấn công tiềm ẩn như từ chối dịch vụ phân tán (DDoS), nhưng một nhà nghiên cứu đã phát hiện ra cách vượt qua sự bảo vệ của nó bằng cách sử dụng các tải trọng phức tạp để gây nhầm lẫn cho các quy tắc của nó.
Nhà nghiên cứu, được gọi là Peter H., cùng với Usman Mansha, cho biết Akamai kể từ đó đã vá lỗ hổng bảo mật không được gán số CVE. Trong bài viết, Peter H. đã giải thích cách anh ấy sử dụng phiên bản dễ bị tổn thương của Khởi động mùa xuân bỏ qua bảo vệ WAF.
"Cuối cùng, chúng tôi đã có thể bỏ qua Akamai WAF và đạt được Thực thi mã từ xa (P1) bằng cách sử dụng tính năng chèn Ngôn ngữ biểu thức Spring trên một ứng dụng chạy Spring Boot,” giải thích GitHub về Akamai WAF RCE tìm giải thích. “Đây là RCE thứ 2 thông qua SSTI mà chúng tôi tìm thấy trong chương trình này, sau lần đầu tiên, chương trình đã triển khai WAF mà chúng tôi có thể bỏ qua trong một phần khác của ứng dụng.”
