CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27174

Critical
Published: Translated: NVD NIST

Summary

MajorDoMo (znany również jako Major Domestic Module) umożliwia zdalne wykonanie kodu przez nieautoryzowanych użytkowników za pomocą funkcji konsoli PHP w panelu administracyjnym. Błąd związany z kolejnością dołączania w pliku modules/panel.class.php pozwala na kontynuację wykonania po wywołaniu redirect(), co umożliwia nieautoryzowanym żądaniom dotarcie do obsługi ajax w inc_panel_ajax.php.

Risk Assessment

Organizacja jest narażona na ryzyko wykonania dowolnego kodu PHP przez atakującego, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Brak autoryzacji w obsłudze konsoli PHP stwarza poważne zagrożenie dla integralności systemu.

Recommendation

Zaleca się natychmiastowe zaktualizowanie MajorDoMo do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy ograniczyć dostęp do panelu administracyjnego tylko dla autoryzowanych użytkowników oraz wprowadzić dodatkowe mechanizmy uwierzytelniania.

Original NVD description (English source)

MajorDoMo (aka Major Domestic Module) allows unauthenticated remote code execution via the admin panel's PHP console feature. An include order bug in modules/panel.class.php causes execution to continue past a redirect() call that lacks an exit statement, allowing unauthenticated requests to reach the ajax handler in inc_panel_ajax.php. The console handler within that file passes user-supplied input from GET parameters (via register_globals) directly to eval() without any authentication check. An attacker can execute arbitrary PHP code by sending a crafted GET request to /admin.php with ajax_panel, op, and command parameters.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS