CVE-2026-27175 in MajorDoMoinfo

Zusammenfassung

von VulDB • 10.05.2026

MajorDoMo (auch bekannt als Major Domestic Module) ist anfällig für eine nicht authentifizierte OS-Befehlsinjektion über rc/index.php. Die Variable $param aus Benutzereingaben wird ohne Sanitization via escapeshellarg() in einen Befehlsstring innerhalb von doppelten Anführungszeichen interpoliert. Der Befehl wird von safe_exec() in eine Datenbankwarteschlange eingefügt, die keine Sanitization durchführt. Das Skript cycle_execs.php, das ohne Authentifizierung über das Web zugänglich ist, ruft die warteschlangengerechten Befehle ab und übergibt diese direkt an exec(). Ein Angreifer kann eine Race Condition ausnutzen, indem er zunächst cycle_execs.php auslöst (was die Warteschlange löscht und eine Polling-Schleife startet), und dann einen bösartigen Befehl über den rc-Endpunkt injiziert, während der Worker pollt. Die injizierten Shell-Metazeichen werden innerhalb der doppelten Anführungszeichen erweitert, was zu Remote Code Execution innerhalb einer Sekunde führt.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

VulnCheck

Reservieren

18.02.2026

Veröffentlichung

19.02.2026

Moderieren

akzeptiert

Eintrag

VDB-346665

CPE

bereit

EPSS

0.25968

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-27175
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-27175
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-27175/

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!