关键信息 Advisory标题: MajorDoMo Unauthenticated SQL Injection in Commands Module 严重程度: 高 日期: 2023-2-18 CVE 编号: CVE-2026-27179 CVE描述: CVE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N 引用: - MajorDoMo Revisited: What I Missed in 2023 - Fix PR: sergejey/majordomo#1177 报告人: Valentin Lobstein 描述: MajorDoMo(也称Major Domestic Module)在命令模块中存在一个未认证的SQL注入漏洞。commands_search.inc.php文件直接将$_GET['parent']参数插入多个SQL查询中,而未进行任何过滤或参数化处理。命令模块可通过/objects/?module=commands这样的路径加载,该过程中就会调用对应节点的usual()方法。由于可以任意调用该模块,因此这个漏洞可以通过联合SQL注入利用。另外, MajorDoMo使用hash的MD5来保存密码,因此成功利用此漏洞可以获得站点管理后台的密码,从而登录后台管理系统。 CVSS得分: 未知(CVSS V4向量给出,但未提供具体的CVSS评分)