CVE-2026-34797：Endian Firewall命令注入漏洞（≤3.3.25）

Endian 防火墙 3.3.25 之前的版本中的 CVE-2026-34797 允许经过身份验证的用户执行任意操作系统命令。这通过操纵 /cgi-bin/logs_smtp.cgi 中的 DATE 参数来实现。DATE 参数的值用于构建传递给 Perl open() 调用的文件路径，并且正则表达式验证不完整，导致命令注入。经过身份验证的攻击者可能会控制防火墙，从而破坏受保护的网络。CVSS 严重性为 8.8，表明存在高风险。成功的利用可能导致远程代码执行、数据盗窃或拒绝服务。缺乏修复程序加剧了情况，需要立即采取缓解措施。

Organizations heavily reliant on Endian Firewall for network security are at significant risk. Specifically, deployments with weak password policies or shared user accounts increase the likelihood of an attacker gaining authentication and exploiting this vulnerability. Environments with legacy Endian Firewall appliances running older, unsupported versions are particularly vulnerable due to the lack of security updates.

• linux / server:

journalctl -u httpd | grep '/cgi-bin/logs_smtp.cgi' -i 'DATE='

• generic web:

curl -I 'http://<firewall_ip>/cgi-bin/logs_smtp.cgi?DATE=;id;' # Check for command execution in response headers

1. 2026-04-02Disclosure

   disclosure

1. 已保留2026-03-30
2. 发布日期2026-04-02
3. 修改日期2026-04-03
4. EPSS 更新日期2026-04-10

由于 CVE-2026-34797 没有官方修复程序，因此缓解措施的重点是限制对 Endian 防火墙的访问并加强防御。强烈建议对网络进行分段，以隔离防火墙与关键系统。对于所有具有防火墙访问权限的用户，实施多因素身份验证 (MFA) 至关重要。密切监控防火墙日志中是否存在可疑活动，特别是包含异常 DATE 参数的 /cgi-bin/logs_smtp.cgi 请求。如果可用，请考虑升级到不受影响的 Endian 防火墙版本。仅允许具有最小权限的授权用户访问防火墙的管理界面。实施入侵检测系统 (IDS)，以检测和响应潜在攻击。