Plataforma
perl
Componente
endian-firewall
Corrigido em
3.3.26
A vulnerabilidade CVE-2026-34797 refere-se a uma falha de Command Injection no Endian Firewall, permitindo que usuários autenticados executem comandos arbitrários do sistema operacional. Essa falha pode levar à execução de código malicioso e comprometer a segurança do sistema. A vulnerabilidade afeta versões anteriores ou iguais à 3.3.25. No momento, não há correção oficial disponível.
A vulnerabilidade CVE-2026-34797 em firewalls Endian versões 3.3.25 e anteriores permite que usuários autenticados executem comandos arbitrários do sistema operacional. Isso é alcançado manipulando o parâmetro DATE em /cgi-bin/logs_smtp.cgi. O valor do parâmetro DATE é usado para construir um caminho de arquivo que é passado para uma chamada Perl open(), e a validação de expressão regular é incompleta, levando à injeção de comandos. Um atacante autenticado pode obter controle do firewall, comprometendo a rede protegida. A severidade CVSS é 8.8, indicando um alto risco. A exploração bem-sucedida pode resultar em execução remota de código, roubo de dados confidenciais ou negação de serviço. A falta de uma correção (fix) disponível agrava a situação, exigindo medidas de mitigação imediatas.
A vulnerabilidade é explorada enviando uma solicitação HTTP maliciosa para /cgi-bin/logs_smtp.cgi com um parâmetro DATE cuidadosamente elaborado contendo comandos do sistema operacional. Devido à validação incompleta da expressão regular, o firewall não consegue filtrar corretamente os caracteres especiais que permitem a injeção de comandos. O atacante precisa ser um usuário autenticado para explorar a vulnerabilidade. A exploração é relativamente direta assim que o mecanismo de construção do caminho do arquivo é compreendido. A falta de uma correção oficial significa que os firewalls afetados são vulneráveis até que medidas de mitigação eficazes sejam implementadas ou uma versão atualizada seja implantada.
Organizations heavily reliant on Endian Firewall for network security are at significant risk. Specifically, deployments with weak password policies or shared user accounts increase the likelihood of an attacker gaining authentication and exploiting this vulnerability. Environments with legacy Endian Firewall appliances running older, unsupported versions are particularly vulnerable due to the lack of security updates.
• linux / server:
journalctl -u httpd | grep '/cgi-bin/logs_smtp.cgi' -i 'DATE='• generic web:
curl -I 'http://<firewall_ip>/cgi-bin/logs_smtp.cgi?DATE=;id;' # Check for command execution in response headersdisclosure
Status do Exploit
EPSS
0.49% (percentil 66%)
CISA SSVC
Vetor CVSS
Dado que não há uma correção (fix) oficial disponível para CVE-2026-34797, a mitigação se concentra em limitar o acesso ao firewall Endian e fortalecer as defesas. Recomenda-se fortemente segmentar a rede para isolar o firewall de sistemas críticos. Implementar autenticação multifator (MFA) para todos os usuários com acesso ao firewall é crucial. Monitore de perto os logs do firewall em busca de atividades suspeitas, especialmente solicitações para /cgi-bin/logs_smtp.cgi com parâmetros DATE incomuns. Considere atualizar para uma versão do firewall Endian que não seja vulnerável, se disponível. Restrinja o acesso à interface de administração do firewall apenas a usuários autorizados e com privilégios mínimos. Implemente um sistema de detecção de intrusão (IDS) para detectar e responder a possíveis ataques.
Actualice Endian Firewall a una versión posterior a la 3.3.25. Esto corrige la vulnerabilidad de inyección de comandos en el parámetro DATE del script /cgi-bin/logs_smtp.cgi.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVSS 8.8 indica um alto risco. Significa que a vulnerabilidade é facilmente explorável e pode ter um impacto significativo na segurança do sistema.
A ausência de um 'fix' oficial é preocupante. Pode ser devido ao Endian não ter lançado uma atualização ou a vulnerabilidade ser recente. Recomenda-se entrar em contato diretamente com o Endian para obter informações sobre possíveis soluções.
A injeção de comandos é um tipo de vulnerabilidade de segurança que permite que um atacante execute comandos arbitrários no sistema operacional subjacente por meio de uma aplicação web.
Se você estiver usando uma versão do firewall Endian anterior à 3.3.25, ele é vulnerável. Revise a documentação do Endian para obter mais detalhes.
Isole imediatamente o firewall da rede, altere todas as senhas e realize uma auditoria de segurança completa.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.