JVNDB-2026-004383

Sergei JeihalaのMajorDoMoにおけるSQL インジェクションの脆弱性

MajorDoMo（別名 Major Domestic Module）には、commands モジュールに認証なしで実行可能なSQLインジェクションの脆弱性があります。commands_search.inc.php ファイルは、$_GET['parent'] パラメータをサニタイズせず、パラメータ化されたクエリも使用せずに複数のSQLクエリに直接埋め込んでいます。commands モジュールは /objects/?module=commands エンドポイントを介して認証なしで読み込むことができ、名前によって任意のモジュールを含め、その usual() メソッドを呼び出します。UNION SELECT SLEEP() 構文を用いた時間差ブラインドSQLインジェクションが悪用可能です。MajorDoMo は users テーブルに管理者パスワードをソルトなしのMD5ハッシュとして保存しているため、脆弱性を成功裏に悪用すると資格情報を抽出し、管理パネルにアクセスすることが可能になります。

Sergei Jeihala

• MajorDoMo

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Chocapikk

• Chocapikk : MajorDoMo Revisited: What I Missed in 2023 - Chocapikk's Cybersecurity Blog

VulnCheck

• VulnCheck : MajorDoMo Unauthenticated SQL Injection in Commands Module  | Advisories | VulnCheck

1. SQLインジェクション(CWE-89) [その他]

1. CVE-2026-27179

1. National Vulnerability Database (NVD) : CVE-2026-27179
2. 関連文書 : Fix: 8 security vulnerabilities (3 RCE, 1 module uninstall, 1 SQLi, 2 stored XSS, 1 reflected XSS) by Chocapikk  Pull Request #1177  sergejey/majordomo  GitHub

• [2026年02月24日]
    掲載