关键信息 漏洞名称 MajorDoMo Supply Chain Remote Code Execution via Update URL Poisoning 严重性 CRITICAL 日期 2023-02-18 CVE ID CVE-2026-27180 相关漏洞 CVE-494 Download of Code Without Integrity Check CVSS V4 向量 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 参考资料 MajorDoMo Revisited: What I Missed in 2023 Fix PR: sergejey/majordomo#1177 描述 MajorDoMo(又称Major Domestic Module)存在未经身份验证的远程代码执行漏洞,可通过供应链攻击中的更新URL投毒方式利用。saverestore模块通过/objects/?module=saverestore端点暴露其admin()方法,但未进行身份验证,因为它使用gr('mode')(直接从$_REQUEST读取)而不是框架的$this->mode。攻击者可以通过auto_update_settings模式处理器向系统更新URL投毒,然后触发force_update处理器来启动更新链。autoUpdateSystem()方法从攻击者控制的URL获取一个Atom feed,使用验证不足并禁用了TLS验证(CURLOPT_SSL_VERIFYPEER设置为FALSE)下载tarball,使用exec('tar xzvf ...')提取tarball,并使用copyTree()将所有提取的文件复制到文档根目录。这允许攻击者部署任意PHP文件,包括网络shell,使用两个GET请求将它们部署到webroot。 作者 Valentin Lobstein