Akamai’nin Web uygulaması güvenlik duvarı (WAF), dağıtılmış hizmet reddi (DDoS) gibi potansiyel saldırıları savuşturmayı amaçlamaktadır, ancak bir araştırmacı, kurallarını karıştırmak için karmaşık yükler kullanarak korumalarını atlamanın bir yolunu keşfetti.
Usman Mansha ile birlikte Peter H. olarak bilinen araştırmacı, Akamai’nin o zamandan beri bir CVE numarası atanmayan güvenlik açığını yamaladığını söyledi. Yazıda Peter H., WAF korumalarını atlamak için Spring Boot’un savunmasız bir sürümünü nasıl kullandığını açıkladı.
“Akamai WAF RCE bulgusunun GitHub açıklamasında, “Sonunda, Spring Boot çalıştıran bir uygulamada Spring Expression Language enjeksiyonunu kullanarak Akamai WAF’ı atlayabildik ve Uzaktan Kod Yürütmeyi (P1) elde edebildik.” bu programda, 1. programdan sonra, program, uygulamanın farklı bir bölümünde atlayabildiğimiz bir WAF uyguladı.”