Endian Firewall /cgi-bin/logs_clamav.cgi DATE Perl Command Injection

Endian Firewall versie 3.3.25 en eerder stellen geauthenticeerde gebruikers in staat om willekeurige OS-opdrachten uit te voeren via de DATE-parameter naar /cgi-bin/logs_clamav.cgi. De waarde van de DATE-parameter wordt gebruikt om een bestandspad te construeren dat wordt doorgegeven aan een Perl `open()` aanroep, wat command injection (command injection) mogelijk maakt vanwege een onvolledige reguliere expressievalidatie.