एंडियन फ़ायरवॉल /cgi-bin/logs_firewall.cgi DATE पर्ल कमांड इंजेक्शन (Perl Command Injection)

एंडियन फ़ायरवॉल संस्करण 3.3.25 और इससे पहले के संस्करण प्रमाणित उपयोगकर्ताओं को /cgi-bin/logs_firewall.cgi में DATE पैरामीटर के माध्यम से मनमाने ढंग से ओएस (OS) कमांड निष्पादित करने की अनुमति देते हैं। DATE पैरामीटर मान का उपयोग एक फ़ाइल पथ बनाने के लिए किया जाता है जिसे पर्ल (Perl) open() कॉल को पारित किया जाता है, जो अपूर्ण रेगुलर एक्सप्रेशन (regular expression) सत्यापन के कारण कमांड इंजेक्शन (command injection) की अनुमति देता है।