CVE-2026-27180 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未授权访问导致供应链投毒。MajorDoMo 的 `saverestore` 模块暴露了 `admin()` 方法，无需认证即可调用。攻击者可篡改更新源，触发自动下载并执行恶意代码。后果：**远程代码执行 (RCE)**，系统彻底沦陷。

🛡️ **根本原因**：**CWE-494**（下载文件后缺乏完整性检查）。缺陷点在于 `/objects/?module=saverestore` 端点未做身份验证，且系统盲目信任并执行从外部 URL 获取的 Atom 源和 tarball 包。

📦 **影响对象**：使用 **MajorDoMo** 开源智能家居自动化平台的用户。厂商：**sergejey**。涉及组件：`saverestore` 模块。

💀 **黑客能力**：拥有 **CVSS 3.1 满分级** 危害（C:H/I:H/A:H）。可完全控制服务器，任意执行代码，窃取数据，篡改系统配置，甚至作为跳板攻击内网其他设备。

🚪 **利用门槛**：**极低**。无需认证（PR:N），无需用户交互（UI:N），网络可达即可（AV:N）。攻击者只需构造恶意更新 URL 并触发 `force_update` 即可。

💻 **现成 Exp**：**有**。GitHub 上已公开 PoC：`CVE-2026-27180-MajorDoMo-unauthenticated-RCE`。VulnCheck 和独立安全研究员均已发布详细利用分析。

🔍 **自查方法**：扫描 `/objects/?module=saverestore` 接口是否响应正常且未返回 403/401。检查系统日志中是否有异常的 `force_update` 触发记录或来自非官方源的 tarball 下载行为。

🩹 **官方修复**：**已修复**。GitHub PR #1177 提供了补丁。建议立即升级 MajorDoMo 至包含此修复的最新版本。

🛑 **临时规避**：若无法立即升级，需在 Web 服务器层（Nginx/Apache）**禁止访问** `/objects/?module=saverestore` 路径。或配置 WAF 拦截包含 `saverestore` 和 `admin` 参数的请求。

⚡ **优先级**：**紧急 (P0)**。CVSS 向量显示为高危，且利用条件几乎为零。智能家居网关常被置于内网核心，一旦 RCE 将导致严重隐私泄露和网络渗透。请立即行动！