CVE-2026-27174
CriticalSummary
MajorDoMo (znany również jako Major Domestic Module) umożliwia zdalne wykonanie kodu przez nieautoryzowanych użytkowników za pomocą funkcji konsoli PHP w panelu administracyjnym. Błąd związany z kolejnością dołączania w pliku modules/panel.class.php pozwala na kontynuację wykonania po wywołaniu redirect(), co umożliwia nieautoryzowanym żądaniom dotarcie do obsługi ajax w inc_panel_ajax.php.
Risk Assessment
Organizacja jest narażona na ryzyko wykonania dowolnego kodu PHP przez atakującego, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Brak autoryzacji w obsłudze konsoli PHP stwarza poważne zagrożenie dla integralności systemu.
Recommendation
Zaleca się natychmiastowe zaktualizowanie MajorDoMo do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy ograniczyć dostęp do panelu administracyjnego tylko dla autoryzowanych użytkowników oraz wprowadzić dodatkowe mechanizmy uwierzytelniania.
Original NVD description (English source)
MajorDoMo (aka Major Domestic Module) allows unauthenticated remote code execution via the admin panel's PHP console feature. An include order bug in modules/panel.class.php causes execution to continue past a redirect() call that lacks an exit statement, allowing unauthenticated requests to reach the ajax handler in inc_panel_ajax.php. The console handler within that file passes user-supplied input from GET parameters (via register_globals) directly to eval() without any authentication check. An attacker can execute arbitrary PHP code by sending a crafted GET request to /admin.php with ajax_panel, op, and command parameters.

