Descoberta e escopo da falha
Uma falha recém-divulgada expõe servidores MajorDoMo voltados para a internet a execução remota de código não autenticada. A vulnerabilidade, identificada como CVE-2026-27174, surge de um fluxo de autenticação quebrado e avaliação dinâmica insegura de PHP, permitindo que atacantes assumam o controle total do servidor.
O problema reside no fluxo de requisição /admin.php, onde o tratamento inadequado de acesso não autorizado permite que a execução continue mesmo após um redirecionamento, efetivamente contornando os controles de acesso. Essa execução contínua expõe um manipulador de console AJAX interno que passa entrada controlada pelo atacante diretamente para a função eval() do PHP.
Como o MajorDoMo frequentemente gerencia câmeras, sensores, rotinas de automação e outros serviços de IoT internos, a exploração bem-sucedida pode rapidamente escalar de um comprometimento web para uma exposição mais ampla do ambiente inteligente e da rede.
Mecanismo de exploração
A exploração desta falha arquitetural requer apenas uma única requisição HTTP GET especialmente elaborada direcionada à interface administrativa exposta. Os atores de ameaça podem acionar a vulnerabilidade passando variáveis de roteamento específicas, selecionando a operação de console interna e fornecendo sua carga maliciosa através do parâmetro command.
Embora o servidor retorne uma resposta de redirecionamento ao cliente, o interpretador do backend continua a processar a carga injetada e executa instruções PHP arbitrárias. Isso concede aos atacantes acesso irrestrito ao ambiente do aplicativo, permitindo que executem comandos em nível de sistema, leiam arquivos de configuração sensíveis e estabeleçam acesso persistente de backdoor escrevendo web shells no sistema de arquivos subjacente.
Impacto e alcance
Devido ao MajorDoMo frequentemente servir como a engine de orquestração central para dispositivos IoT, câmeras e redes de automação privada, o impacto desta falha de execução remota de código vai muito além do aplicativo web imediato.
Pesquisadores de segurança alertam que um host comprometido pode ser instrumentalizado como um ponto de apoio estratégico, permitindo que atores de ameaça interceptem feeds de vigilância, extraiam credenciais de rede armazenadas e pivoteiem lateralmente para segmentos mais profundos e melhor protegidos da rede interna.
A vulnerabilidade já está coberta por um modelo de detecção disponível publicamente no repositório ProjectDiscovery Nuclei, sinalizando um risco elevado de exploração rápida contra sistemas de casa inteligente expostos.
Medidas de mitigação recomendadas
Para mitigar esta ameaça severa, os administradores devem restringir urgentemente o acesso ao painel administrativo a endereços IP internos confiáveis e implantar a plataforma atrás de uma rede privada virtual segura ou um gateway de autenticação de proxy reverso avançado.
- Restrinja o acesso ao painel administrativo a IPs internos confiáveis.
- Implante o MajorDoMo atrás de uma VPN ou proxy reverso com autenticação.
- Audite proativamente os logs do sistema para operações de console inesperadas.
- Aplique os patches mais recentes do fornecedor para eliminar permanentemente caminhos de execução de código dinâmico inseguros.
- Monitore conexões de saída incomuns do servidor hospedando o MajorDoMo.
Perguntas frequentes
É necessário autenticação para explorar?
Não, a falha permite execução remota de código sem autenticação prévia.
Quais sistemas são afetados?
Servidores MajorDoMo expostos à internet com versões vulneráveis.
Como detectar a exploração?
Monitore requisições HTTP ao /admin.php com parâmetros suspeitos e processos filhos suspeitos do servidor web.