Plattform
perl
Komponente
endian-firewall
Behoben in
3.3.26
CVE-2026-34797 describes a Command Injection vulnerability discovered in Endian Firewall versions up to 3.3.25. An authenticated attacker can leverage the DATE parameter within the /cgi-bin/logs_smtp.cgi endpoint to execute arbitrary operating system commands. This vulnerability stems from insufficient validation of the DATE parameter when constructing a file path used in a Perl open() call, allowing for malicious code execution. The vulnerability was publicly disclosed on April 2, 2026, and a fix is available.
Die CVE-2026-34797-Schwachstelle in Endian Firewalls der Version 3.3.25 und früher ermöglicht authentifizierten Benutzern, beliebige Betriebssystembefehle auszuführen. Dies wird durch die Manipulation des Parameters DATE in /cgi-bin/logs_smtp.cgi erreicht. Der Wert des Parameters DATE wird verwendet, um einen Dateipfad zu erstellen, der an einen Perl open()-Aufruf übergeben wird. Die Validierung des regulären Ausdrucks ist unvollständig, was zu einer Command Injection führt. Ein authentifizierter Angreifer könnte die Kontrolle über die Firewall übernehmen und das geschützte Netzwerk kompromittieren. Die CVSS-Schweregrad ist 8,8, was ein hohes Risiko anzeigt. Eine erfolgreiche Ausnutzung könnte zur Remote Code Execution, zum Diebstahl vertraulicher Daten oder zu einem Denial-of-Service führen. Das Fehlen eines Fixes verschärft die Situation und erfordert sofortige Abhilfemaßnahmen.
Die Schwachstelle wird ausgenutzt, indem eine bösartige HTTP-Anfrage an /cgi-bin/logs_smtp.cgi mit einem sorgfältig gestalteten DATE-Parameter gesendet wird, der Betriebssystembefehle enthält. Aufgrund der unvollständigen Validierung des regulären Ausdrucks kann die Firewall spezielle Zeichen, die eine Command Injection ermöglichen, nicht korrekt filtern. Der Angreifer muss ein authentifizierter Benutzer sein, um die Schwachstelle auszunutzen. Die Ausnutzung ist relativ einfach, sobald der Mechanismus zur Erstellung des Dateipfads verstanden ist. Das Fehlen eines offiziellen Fixes bedeutet, dass betroffene Firewalls anfällig bleiben, bis wirksame Abhilfemaßnahmen implementiert oder eine aktualisierte Version bereitgestellt wird.
Organizations heavily reliant on Endian Firewall for network security are at significant risk. Specifically, deployments with weak password policies or shared user accounts increase the likelihood of an attacker gaining authentication and exploiting this vulnerability. Environments with legacy Endian Firewall appliances running older, unsupported versions are particularly vulnerable due to the lack of security updates.
• linux / server:
journalctl -u httpd | grep '/cgi-bin/logs_smtp.cgi' -i 'DATE='• generic web:
curl -I 'http://<firewall_ip>/cgi-bin/logs_smtp.cgi?DATE=;id;' # Check for command execution in response headersdisclosure
Exploit-Status
EPSS
0.49% (66% Perzentil)
CISA SSVC
CVSS-Vektor
Da für CVE-2026-34797 kein offizieller Fix verfügbar ist, konzentriert sich die Abhilfe auf die Beschränkung des Zugriffs auf die Endian Firewall und die Stärkung der Verteidigung. Es wird dringend empfohlen, das Netzwerk zu segmentieren, um die Firewall von kritischen Systemen zu isolieren. Die Implementierung einer Multi-Faktor-Authentifizierung (MFA) für alle Benutzer mit Zugriff auf die Firewall ist entscheidend. Überwachen Sie die Firewall-Protokolle genau auf verdächtige Aktivitäten, insbesondere Anfragen an /cgi-bin/logs_smtp.cgi mit ungewöhnlichen DATE-Parametern. Erwägen Sie ein Upgrade auf eine Endian Firewall-Version, die nicht anfällig ist, falls verfügbar. Beschränken Sie den Zugriff auf die Verwaltungs-Schnittstelle der Firewall auf autorisierte Benutzer mit minimalen Berechtigungen. Implementieren Sie ein Intrusion Detection System (IDS), um potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice Endian Firewall a una versión posterior a la 3.3.25. Esto corrige la vulnerabilidad de inyección de comandos en el parámetro DATE del script /cgi-bin/logs_smtp.cgi.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
CVSS 8.8 weist auf ein hohes Risiko hin. Das bedeutet, dass die Schwachstelle leicht auszunutzen ist und erhebliche Auswirkungen auf die Systemsicherheit haben kann.
Das Fehlen eines offiziellen 'Fix' ist besorgniserregend. Dies könnte daran liegen, dass Endian noch kein Update veröffentlicht hat oder die Schwachstelle neu ist. Es wird empfohlen, sich direkt an Endian zu wenden, um Informationen über mögliche Lösungen zu erhalten.
Command Injection ist eine Art von Sicherheitslücke, die es einem Angreifer ermöglicht, beliebige Befehle auf dem zugrunde liegenden Betriebssystem über eine Webanwendung auszuführen.
Wenn Sie eine Version der Endian Firewall vor 3.3.25 verwenden, ist sie anfällig. Überprüfen Sie die Endian-Dokumentation für weitere Details.
Isolieren Sie die Firewall sofort vom Netzwerk, ändern Sie alle Passwörter und führen Sie eine umfassende Sicherheitsprüfung durch.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.