CVE-2026-27178 in MajorDoMoinfo

Zusammenfassung

von VulDB • 15.05.2026

MajorDoMo (auch bekannt als Major Domestic Module) enthält eine gespeicherte Cross-Site-Scripting-(XSS)-Schwachstelle durch Methodparameter-Injection in die Shoutbox. Der Endpunkt /objects/?method= ermöglicht die nicht-authentifizierte Ausführung gespeicherter Methoden mit angreiferkontrollierten Parametern. Standardmethoden wie ThisComputer.VolumeLevelChanged übergeben den vom Benutzer bereitgestellten VALUE-Parameter direkt an die say()-Funktion, die die Nachricht unverändert (raw) in der shouts-Datentabelle speichert, ohne sie zu escapen. Das Shoutbox-Widget rendert gespeicherte Nachrichten ohne Sanitization sowohl im PHP-Rendern-Code als auch in den HTML-Vorlagen. Da sich das Dashboard-Widget alle 3 Sekunden automatisch aktualisiert, wird das injizierte Skript automatisch ausgeführt, wenn ein Administrator das Dashboard lädt, was Session-Hijacking durch Cookie-Exfiltration ermöglicht.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

VulnCheck

Reservieren

18.02.2026

Veröffentlichung

19.02.2026

Moderieren

akzeptiert

Eintrag

VDB-346673

CPE

bereit

EPSS

0.00044

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-27178
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-27178
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-27178/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!