Plattform
linux
Komponente
endian-firewall
Behoben in
3.3.26
CVE-2026-34793 describes a Command Injection vulnerability discovered in Endian Firewall versions up to 3.3.25. An authenticated attacker can leverage the DATE parameter within the /cgi-bin/logs_firewall.cgi endpoint to execute arbitrary operating system commands. This vulnerability stems from insufficient validation of the DATE parameter, allowing malicious input to be incorporated into file paths used by a Perl script, ultimately leading to command execution. The vulnerability was publicly disclosed on April 2, 2026, and a fix is available in a later version.
Die CVE-2026-34793-Schwachstelle in Endian Firewalls der Version 3.3.25 und früher ermöglicht authentifizierten Benutzern, beliebige Betriebssystembefehle auszuführen. Dies wird erreicht, indem der Parameter DATE in /cgi-bin/logs_firewall.cgi manipuliert wird. Der für DATE angegebene Wert wird verwendet, um einen Dateipfad zu erstellen, der an einen Perl open()-Aufruf übergeben wird. Eine unvollständige Validierung regulärer Ausdrücke ermöglicht die Code-Injektion. Ein Angreifer mit authentifiziertem Zugriff kann diese Schwachstelle ausnutzen, um die Kontrolle über die Firewall zu übernehmen, das geschützte Netzwerk zu kompromittieren und sensible Informationen zu erhalten. Der CVSS-Schweregrad beträgt 8,8, was ein hohes Risiko anzeigt. Das Fehlen eines offiziellen Fixes (fix: none) verschärft die Situation und erfordert alternative Abschwächungsmaßnahmen.
Die Schwachstelle wird ausgenutzt, indem eine bösartige HTTP-Anfrage an /cgi-bin/logs_firewall.cgi mit einem manipulierten DATE-Parameter gesendet wird. Dieser Parameter enthält eingebettete Betriebssystembefehle, die aufgrund der unzureichenden Validierung regulärer Ausdrücke ausgeführt werden. Der Angreifer benötigt gültige Benutzeranmeldeinformationen, um sich bei der Firewall zu authentifizieren und die Anfrage zu senden. Die Komplexität der Ausnutzung ist relativ gering, da keine tiefgreifenden technischen Kenntnisse erforderlich sind. Der Erfolg der Ausnutzung hängt von der Firewall-Konfiguration und den implementierten Zugriffsbeschränkungen ab. Das Fehlen eines offiziellen Fixes bedeutet, dass das Risiko besteht, bis wirksame Abschwächungsmaßnahmen implementiert werden.
Organizations relying on Endian Firewall for network security are at risk, particularly those running versions 3.3.25 or earlier. Environments with weak authentication practices or shared user accounts are at increased risk, as an attacker gaining access to a single account could exploit this vulnerability. Organizations with limited resources for timely patching and vulnerability management are also at higher risk.
• linux / server:
journalctl -u perl -g 'Apr 2 2026' | grep "/cgi-bin/logs_firewall.cgi"• linux / server:
lsof | grep /cgi-bin/logs_firewall.cgi | grep -i date• generic web:
curl -I 'http://your_firewall_ip/cgi-bin/logs_firewall.cgi?DATE=; whoami' -sdisclosure
Exploit-Status
EPSS
0.49% (66% Perzentil)
CISA SSVC
CVSS-Vektor
Angesichts des fehlenden offiziellen Fixes von Endian konzentriert sich die Abschwächung auf die Einschränkung des authentifizierten Zugriffs und die Stärkung der Firewall-Sicherheit. Eine Netzwerksegmentierung wird dringend empfohlen, um die potenziellen Auswirkungen einer erfolgreichen Ausnutzung zu begrenzen. Es ist entscheidend, den Zugriff auf die Web-Admin-Oberfläche von externen Netzwerken zu deaktivieren oder einzuschränken. Die Implementierung einer Multi-Faktor-Authentifizierung (MFA) für alle Benutzer mit Firewall-Zugriff bietet eine zusätzliche Sicherheitsebene. Die Überwachung der Firewall-Protokolle auf verdächtige Aktivitäten im Zusammenhang mit der Manipulation des DATE-Parameters ist unerlässlich. Erwägen Sie ein Upgrade auf eine Endian Firewall-Version, die einen Fix für diese Schwachstelle enthält, falls verfügbar. Bis dahin ist die Implementierung dieser Abschwächungsmaßnahmen entscheidend, um das Risiko zu verringern.
Aktualisieren Sie Endian Firewall auf eine Version nach 3.3.25. Dies behebt die Command-Injection-Schwachstelle im Parameter DATE des Skripts /cgi-bin/logs_firewall.cgi.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es bedeutet, dass der Anbieter (Endian) kein Update oder Patch zur Behebung dieser Schwachstelle veröffentlicht hat.
Es ist eine Sicherheitsmethode, die zwei oder mehr Formen der Verifizierung erfordert, um die Identität eines Benutzers zu bestätigen, z. B. ein Passwort und ein Code, der an ein Telefon gesendet wird.
Wenn Sie eine Endian Firewall der Version 3.3.25 oder früher verwenden, ist sie anfällig. Weitere Details finden Sie in der Endian-Dokumentation.
Ein Angreifer kann jeden Betriebssystembefehl mit den Berechtigungen des authentifizierten Benutzers ausführen.
Sie finden weitere Informationen in Schwachstellen-Datenbanken wie dem NIST NVD (National Vulnerability Database).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.