CVE-2026-27175 — 神龙十问 AI 深度分析摘要

🚨 **本质**：操作系统命令注入（OS Command Injection）。<br>🔥 **后果**：攻击者可直接在服务器执行任意系统命令，导致**完全控制**。

🛡️ **CWE**：CWE-78（OS命令注入）。<br>🔍 **缺陷点**：`rc/index.php` 中 `$param` 变量未过滤，直接拼入 `safe_exec()` 队列，最终被 `cycle_execs.php` 无认证调用 `exec()` 执行。

🏠 **产品**：MajorDoMo（开源DIY智能家居平台）。<br>👤 **厂商**：sergejey。

💀 **权限**：无需身份验证（PR:N）。<br>📊 **影响**：CVSS 3.1 满分风险（C:H/I:H/A:H），可窃取数据、篡改配置、甚至接管整个智能家居系统。

🚪 **门槛**：极低。<br>✅ **认证**：无需登录（UI:N）。<br>🌐 **网络**：远程利用（AV:N）。<br>⚡ **关键**：利用**竞争条件**（Race Condition）实现注入。

📦 **Exp**：目前无公开 PoC。<br>📝 **参考**：VulnCheck 和 Chocapikk 有详细技术分析，但尚未发现大规模在野利用。

🔎 **自查**：检查是否存在 `rc/index.php` 和 `cycle_execs.php` 文件。<br>📡 **扫描**：关注涉及 `safe_exec` 和 `exec` 调用的竞争条件漏洞扫描。

🔧 **补丁**：有修复 PR（#1177）。<br>📅 **发布**：2026-02-18 公布。建议立即升级至修复版本。

🛑 **临时规避**：若无补丁，需严格限制 `cycle_execs.php` 的访问权限，或修改代码逻辑，确保 `exec()` 前对输入进行严格白名单过滤。

🔥 **优先级**：**极高**。<br>⚠️ **理由**：远程、无需认证、CVSS 高分、竞争条件利用复杂但后果严重。建议**立即修复**。