Majordomo
Уязвимости
9
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.38263
Распределение по критичности
Критический
4
Высокий
2
Средний
3
Низкий
0
Затронутые диапазоны версий
< 2023-11-15
Также сопоставлено как (исходные строки): majordomo
Топ уязвимостей
CVE-2023-50917MajorDoMo (он же Major Domestic Module) до версии 0662e5e допускает выполнение команд через метасимволы shell в thumb.php. ПРИМЕЧАНИЕ: это не связано с менеджером списков рассылки Majordomo.
CVE-2026-27180MajorDoMo (он же Major Domestic Module) уязвим для неаутентифицированного удаленного исполнения кода через компромисс в цепочке поставок путем отравления URL-адресом обновления. Модуль saverestore раскрывает свой метод admin() через конечную точку /ojects/?module =saverestore без аутентификации, поскольку он использует gr('mode') (который читает непосредственно из $_REQUEST) вместо этого->мода фреймворка. Злоумышленник может отравить системный обновлять URL через обработчик режима auto_update_settings, а затем запустить обработчик force_update для инициирования цепочки обновления. Метод autoUpdateSystem() подает канал Atom из URL-адреса, управляемого злоумышленником, с тривиальной валидацией, загружает тарбол через завиток с отключенной вереск TLS (CURLOPT_SSL_VERIFYPEER, установленный на FALSE), извлекает его с помощью exec('tar xzvf ...') и копирует все извлеченные файлы в корень документа с помощью copyTree(). Это позволяет злоумышленнику развернуть произвольные файлы PHP, включая webshells, на webroot с помощью двух запросов GET.
CVE-2026-27174MajorDoMo (он же Major Domestic Module) позволяет неаудовлетворительно выполнять удаленный код с помощью функции PHP-консоли админ-панели. Включение ошибки заказа в modules/panel.class.php приводит к тому, что выполнение продолжается после перенаправления () вызова, в котором отсутствует заявление о выходе, что позволяет неаутентичным запросам достичь обработчика ajax в inc_panel_ajax.php. Обработчик консоли в этом файле пропускает предоставленный пользователем ввод от параметров GET (через register_globals) непосредственно на eval() без проверки подлинности. Злоумышленник может выполнить произвольный код PHP, отправив созданный запрос GET на /admin.php с параметрами ajax_panel, op и command.
CVE-2026-27175MajorDoMo (он же Major Domestic Module) уязвим для неаутентированного впрыска команды ОС через rc/index.php. Переменная $param от пользовательского ввода интерполируется в командную строку в двойных кавычках без санации через escapeshellarg(). Команда вставляется в очередь базы данных safe_exec(), которая не выполняет санации. Скрипт cycle_execs.php, который доступен для веб-доступа без аутентификации, извлекает команды в очередях и передает их непосредственно exec(). Злоумышленник может использовать условие гонки, сначала срабатывая cycle_execs.php (который очищает очередь и входит в цикл опроса), а затем вводя вредоносную команду через конечную точку rc, пока работник проводит опрос. Вводимые мета-характеры оболочки расширяются внутри двойных котировок, достигая удаленного выполнения кода в течение одной секунды.
CVE-2026-27179MajorDoMo (он же Major Domestic Module) содержит неаутентифицированную уязвимость SQL-инъекций в модуле команд. Файл commands_search.inc.php напрямую интерполирует параметр $_GET[''parent'] в несколько SQL-запросов без дезинфекции или параметризованных запросов. Модуль команд загружается без аутентификации через конечную точку /objects/?module=commands, которая включает в себя произвольные модули по имени и называет их обычным методом. Слепая инъекция SQL на основе времени может быть использована с использованием синтаксиса UNION SELECT SLEEP(). Поскольку MajorDoMo хранит административные пароли в виде неаллированных хэшей MD5 в таблице пользователей, успешная эксплуатация позволяет извлекать учетные данные и последующий доступ к панели администратора.
CVE-2026-27181MajorDoMo (он же Major Domestic Module) позволяет неаудовлетворительному произвольному удалению модуля через модуль рынка. Метод адmin() модуля рынка считывает gr('mode') от $_REQUEST и назначает его $this->mode в начале исполнения, что делает все пути кода с режимом доступными без аутентификации через /objects/?module=market endpoint. Режим удаления обработчик вызывает удаление плагина, который удаляет записи модулей из базы данных, выполняет метод удаления модуля через eval(), рекурсивно удаляет каталог модуля и файлы шаблонов с помощью удаленияTree() и удаляет связанные скрипты цикла. Атакующий может итерировать имена модулей и протереть всю установку MajorDoMo серией неаутентифицированных запросов GET.
CVE-2026-27178MajorDoMo (он же Major Domestic Module) содержит сохраненную уязвимость поперечного скриптинга (XSS) через инъекцию параметров метода в покер. Конечная точка /объекты/?method= позволяет неаутентично выполнять сохраненные методы с контролируемыми атакующим параметрами. Методы дефолта, такие как ThisComputer.VolumeLevelCanged, передают параметр VALUE, поставляемый пользователем, непосредственно в функцию say(), которая хранит сообщение в таблице базы данных выкрики без побега. Гиджет крикуна отображает сохраненные сообщения без дезинфекции как в коде рендеринга PHP, так и в HTML-шабларах. Поскольку виджет приборной панели автоматически переосвечивает каждые 3 секунды, введенный скрипт выполняет автоматически, когда любой администратор загружает панель инструментов, что позволяет захватить сеанс через эксфильтрацию файлов cookie.
CVE-2026-27177MajorDoMo (он же Major Domestic Module) содержит сохраненную уязвимость кросс-сайта (XSS) через конечную точку / objects/?op=set, которая намеренно не аутентирована для интеграции устройств IoT. Цены имущества, поставляемые пользователям, хранятся в базе данных без дезинфекции. Когда администратор просматривает редактор свойств в панели администратора, сохраненные значения отображаются без выхода как в теге абзаца (поле ИСТОЧНИКА), так и в элементе Textarea (поле VALUE). XSS запускает загрузку страницы, не требуя клика от администратора. Кроме того, сессионный файл cookie не имеет флага HttpOnly, что позволяет захватить сеанс через exitcookie document.cookie. Злоумышленник может перечислить свойства через неаутентированный /api.php/data/ endpoint и отравить любое свойство вредоносным JavaScript.
CVE-2026-27176MajorDoMo (он же Major Domestic Module) содержит отраженную уязвимость кросс-сайта (XSS) в command.php. Параметр $qry отображается непосредственно на HTML-странице без дезинфекции через htmlspecialchars(), как в атрибуте значения поля входного поля, так и в элементе абзаца. Злоумышленник может вводить произвольный JavaScript, создавая URL-адрес с вредоносным контентом в параметре qry.