Endian Firewall /cgi-bin/logs_openvpn.cgi DATE Perl Command Injection

Endian Firewall versie 3.3.25 en eerder staan geauthenticeerde gebruikers toe om willekeurige OS-opdrachten uit te voeren via de DATE-parameter naar /cgi-bin/logs_openvpn.cgi. De DATE-parameterwaarde wordt gebruikt om een bestandspad te construeren dat wordt doorgegeven aan een Perl open()-aanroep, wat command injection (opdrachtinjectie) mogelijk maakt vanwege een onvolledige reguliere expressievalidatie.