CVE-2026-27175 in MajorDoMoinformação

Sumário

de VulDB • 27/05/2026

O MajorDoMo (também conhecido como Major Domestic Module) é vulnerável a injeção de comando no sistema operacional (OS command injection) sem autenticação via rc/index.php. A variável $param, proveniente de entrada do usuário, é interpolada em uma string de comando entre aspas duplas, sem sanitização por meio de escapeshellarg(). O comando é inserido em uma fila de banco de dados por safe_exec(), que não realiza nenhuma sanitização. O script cycle_execs.php, acessível pela web sem autenticação, recupera os comandos na fila e os passa diretamente para exec(). Um atacante pode explorar uma race condition acionando primeiro cycle_execs.php (que esvazia a fila e entra em um loop de polling) e, em seguida, injetando um comando malicioso via endpoint rc enquanto o worker está em polling. Os metacaracteres de shell injetados são expandidos dentro das aspas duplas, permitindo a execução remota de código (RCE) em menos de um segundo.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

VulnCheck

Reservar

18/02/2026

Divulgação

19/02/2026

Moderação

aceite

Entrada

VDB-346665

CPE

pronto

EPSS

0.25968

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-27175
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-27175
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-27175/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!