Plateforme
linux
Composant
endian-firewall
Corrigé dans
3.3.26
La vulnérabilité CVE-2026-34796 dans Endian Firewall permet à des utilisateurs authentifiés d'exécuter des commandes OS arbitraires via le paramètre DATE à /cgi-bin/logs_openvpn.cgi. La valeur du paramètre DATE est utilisée pour construire un chemin de fichier passé à un appel Perl open(). Les versions affectées sont 3.3.25 et antérieures. Pas de correctif officiel disponible.
La vulnérabilité CVE-2026-34796 dans les pare-feu Endian versions 3.3.25 et antérieures permet aux utilisateurs authentifiés d'exécuter des commandes arbitraires du système d'exploitation. Cela est réalisé en manipulant le paramètre DATE dans l'URL /cgi-bin/logs_openvpn.cgi. La valeur du paramètre DATE est utilisée pour construire un chemin de fichier qui est transmis à un appel Perl open(), mais la validation de l'expression régulière est incomplète, ce qui entraîne une injection de commandes. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour obtenir un accès non autorisé au système sous-jacent du pare-feu, compromettant potentiellement le réseau protégé. Le score CVSS est de 8,8, ce qui indique un risque élevé. L'absence d'une correction officielle (fix: none) aggrave la situation, nécessitant des mesures d'atténuation alternatives.
Un attaquant disposant d'identifiants valides pour accéder à l'interface web du pare-feu Endian peut exploiter cette vulnérabilité. L'attaquant enverrait une requête HTTP à /cgi-bin/logs_openvpn.cgi avec un paramètre DATE malveillant contenant des commandes du système d'exploitation. En raison de la validation incomplète de l'expression régulière, ces commandes seront exécutées sur le serveur. La complexité de l'exploitation est relativement faible, car elle ne nécessite que l'accès authentifié et la capacité d'envoyer des requêtes HTTP. L'impact potentiel est élevé, car un attaquant peut obtenir un contrôle total sur le pare-feu et le réseau protégé. L'absence d'un KEV (Vulnérabilité d'exploitation du noyau) indique que la vulnérabilité n'est pas considérée comme une menace immédiate au niveau du noyau, mais le risque d'exploitation reste significatif.
Organizations relying on Endian Firewall as their primary network security device are at risk. This includes small to medium-sized businesses (SMBs) and enterprises using Endian Firewall for perimeter protection. Specifically, deployments with weak authentication or those that haven't implemented strict access controls are particularly vulnerable.
• linux / server:
journalctl -u endian-firewall -g "/cgi-bin/logs_openvpn.cgi" | grep -i "command injection"• linux / server:
ps aux | grep -i "/cgi-bin/logs_openvpn.cgi" | grep -i "command injection"• generic web:
Use curl or wget to access /cgi-bin/logs_openvpn.cgi?DATE=;id and check the response for command execution output.
disclosure
Statut de l'Exploit
EPSS
0.49% (percentile 66%)
CISA SSVC
Vecteur CVSS
Étant donné qu'aucune correction officielle n'est fournie par Endian, l'atténuation principale est de mettre à niveau vers une version du pare-feu Endian ultérieure à la 3.3.25 dès qu'elle est disponible. En attendant, il est recommandé de restreindre l'accès à l'interface d'administration du pare-feu aux seuls utilisateurs autorisés disposant de mots de passe forts. La mise en œuvre d'un système de détection d'intrusion (IDS) peut aider à identifier les tentatives d'exploitation. La surveillance des journaux du pare-feu à la recherche d'activités suspectes liées à l'URL /cgi-bin/logs_openvpn.cgi est essentielle. Envisagez la segmentation du réseau pour limiter l'impact potentiel d'une exploitation réussie. L'absence d'un correctif officiel exige une posture de sécurité proactive et une évaluation continue des risques.
Actualizar Endian Firewall a una versión posterior a la 3.3.25. Esto corrige la vulnerabilidad de inyección de comandos en el parámetro DATE del script /cgi-bin/logs_openvpn.cgi.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie qu'Endian n'a pas publié de correctif ou de solution officielle pour cette vulnérabilité.
KEV (Kernel Exploitability Vulnerability) est une note qui indique la probabilité qu'une vulnérabilité puisse être exploitée au niveau du noyau. L'absence d'un KEV ne signifie pas que la vulnérabilité n'est pas dangereuse.
Si vous utilisez une version du pare-feu Endian antérieure à la 3.3.25, vous êtes vulnérable.
Mettez en œuvre les mesures d'atténuation recommandées, telles que la restriction de l'accès et la surveillance des journaux du pare-feu.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais un IDS peut aider à identifier les activités suspectes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.