Endian Firewall /cgi-bin/logs_log.cgi DATE Perl Command Injection

Endian Firewall Version 3.3.25 und früher ermöglichen authentifizierten Benutzern die Ausführung beliebiger Betriebssystembefehle über den DATE-Parameter an /cgi-bin/logs_log.cgi. Der DATE-Parameterwert wird verwendet, um einen Dateipfad zu erstellen, der an einen Perl open()-Aufruf übergeben wird, was aufgrund einer unvollständigen Validierung durch reguläre Ausdrücke eine Command Injection ermöglicht.