Endian Firewall /cgi-bin/logs_openvpn.cgi DATE Injeção de Comando Perl

Endian Firewall versão 3.3.25 e anteriores permitem que utilizadores autenticados executem comandos arbitrários do SO através do parâmetro DATE para /cgi-bin/logs_openvpn.cgi. O valor do parâmetro DATE é usado para construir um caminho de ficheiro que é passado para uma chamada Perl open(), o que permite a injeção de comando devido a uma validação incompleta de expressão regular.