关键漏洞信息 漏洞名称 MajorDoMo Stored Cross-Site Scripting via Method Parameters to Shoutbox 严重性 HIGH 发布日期 2/18/2026 影响版本 MajorDoMo <= 0 CVE 编号 CVE-2026-27178 CWE 编号 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CVSS V4 分数 4.0 参考链接 MajorDoMo Revisited: What I Missed in 2023 Fix PR: sergejey/majordomo#1177 发现者 Valentin Lobstein 描述 MajorDoMo (又称 Major Domestic Module) 存在一个存储型跨站脚本 (XSS) 漏洞,该漏洞通过方法参数注入到 shoutbox。 端点允许未经身份验证的执行存储方法,这些方法通过攻击者控制的参数传递。默认方法如 会将用户提供的 参数直接传递到 函数,该函数会将消息原始存储在 shouts 数据库表中,而不会进行转义。shoutbox 小部件在 PHP 渲染代码和 HTML 模板中渲染存储消息时未进行任何清理。由于仪表板小部件每3秒自动刷新一次,注入的脚本会在任何管理员载入仪表板时自动执行,从而通过 cookie 泄露实现会话劫持。