Plattform
linux
Komponente
endian-firewall
Behoben in
3.3.26
CVE-2026-34796 describes a Command Injection vulnerability discovered in Endian Firewall. This flaw allows authenticated users to execute arbitrary operating system commands, potentially granting them complete control over the firewall. The vulnerability affects versions of Endian Firewall up to 3.3.25, and a patch is available to address the issue.
CVE-2026-34796 in Endian Firewalls versions 3.3.25 and prior allows authenticated users to execute arbitrary operating system commands. This is achieved by manipulating the DATE parameter in the URL /cgi-bin/logs_openvpn.cgi. The value of the DATE parameter is used to construct a file path that is passed to a Perl open() call, but the regular expression validation is incomplete, leading to command injection. Ein authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, um unbefugten Zugriff auf das zugrunde liegende System der Firewall zu erhalten und möglicherweise das geschützte Netzwerk zu gefährden. Der CVSS-Wert beträgt 8,8, was ein hohes Risiko anzeigt. Das Fehlen eines offiziellen Fixes (fix: none) verschärft die Situation und erfordert alternative Abhilfemaßnahmen.
Ein Angreifer mit gültigen Anmeldeinformationen für den Zugriff auf die Web-Schnittstelle der Endian Firewall kann diese Schwachstelle ausnutzen. Der Angreifer sendet eine HTTP-Anfrage an /cgi-bin/logs_openvpn.cgi mit einem bösartigen DATE-Parameter, der Betriebssystembefehle enthält. Aufgrund der unvollständigen regulären Ausdrucksvalidierung werden diese Befehle auf dem Server ausgeführt. Die Komplexität der Ausnutzung ist relativ gering, da nur ein authentifizierter Zugriff und die Fähigkeit, HTTP-Anfragen zu senden, erforderlich sind. Die potenzielle Auswirkung ist hoch, da ein Angreifer die vollständige Kontrolle über die Firewall und das geschützte Netzwerk erlangen kann. Das Fehlen einer KEV (Kernel Exploitability Vulnerability) deutet darauf hin, dass die Schwachstelle nicht als unmittelbare Bedrohung auf Kernel-Ebene gilt, aber das Risiko einer Ausnutzung bleibt bestehen.
Organizations relying on Endian Firewall as their primary network security device are at risk. This includes small to medium-sized businesses (SMBs) and enterprises using Endian Firewall for perimeter protection. Specifically, deployments with weak authentication or those that haven't implemented strict access controls are particularly vulnerable.
• linux / server:
journalctl -u endian-firewall -g "/cgi-bin/logs_openvpn.cgi" | grep -i "command injection"• linux / server:
ps aux | grep -i "/cgi-bin/logs_openvpn.cgi" | grep -i "command injection"• generic web:
Use curl or wget to access /cgi-bin/logs_openvpn.cgi?DATE=;id and check the response for command execution output.
disclosure
Exploit-Status
EPSS
0.49% (66% Perzentil)
CISA SSVC
CVSS-Vektor
Da Endian keine offizielle Lösung bereitstellt, ist die primäre Abhilfe, auf eine Endian Firewall-Version zu aktualisieren, die neuer als 3.3.25 ist, sobald dies verfügbar ist. In der Zwischenzeit wird empfohlen, den Zugriff auf die Verwaltungs-Schnittstelle der Firewall nur auf autorisierte Benutzer mit starken Passwörtern zu beschränken. Die Implementierung eines Intrusion Detection Systems (IDS) kann helfen, Exploitationsversuche zu erkennen. Die Überwachung der Firewall-Protokolle auf verdächtige Aktivitäten im Zusammenhang mit der URL /cgi-bin/logs_openvpn.cgi ist entscheidend. Erwägen Sie die Netzwerksegmentierung, um die potenziellen Auswirkungen einer erfolgreichen Ausnutzung zu begrenzen. Das Fehlen eines offiziellen Patches erfordert eine proaktive Sicherheitslage und eine kontinuierliche Risikobewertung.
Actualizar Endian Firewall a una versión posterior a la 3.3.25. Esto corrige la vulnerabilidad de inyección de comandos en el parámetro DATE del script /cgi-bin/logs_openvpn.cgi.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es bedeutet, dass Endian keinen offiziellen Patch oder Fix für diese Schwachstelle veröffentlicht hat.
KEV (Kernel Exploitability Vulnerability) ist eine Bewertung, die die Wahrscheinlichkeit angibt, dass eine Schwachstelle auf Kernel-Ebene ausgenutzt werden kann. Das Fehlen eines KEV bedeutet nicht, dass die Schwachstelle nicht gefährlich ist.
Wenn Sie eine Version der Endian Firewall verwenden, die vor 3.3.25 liegt, sind Sie anfällig.
Implementieren Sie die empfohlenen Abhilfemaßnahmen, z. B. die Beschränkung des Zugriffs und die Überwachung der Firewall-Protokolle.
Derzeit gibt es keine spezifischen Tools, um diese Schwachstelle zu erkennen, aber ein IDS kann helfen, verdächtige Aktivitäten zu identifizieren.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.