MajorDoMo（又名 Major Domestic Module）是一款用于家庭自动化的开源平台。其管理面板的 PHP 控制台功能存在严重安全缺陷，modules/panel.class.php 中的包含顺序漏洞与 redirect() 函数缺失退出语句，导致未经验证的请求能够绕过身份验证，直接访问 inc_panel_ajax.php 中的 AJAX 处理器。该处理器将用户通过 GET 参数（利用 register_globals）提供的输入直接传递给 eval() 函数，且未进行任何身份验证检查。攻击者可通过向 /admin.php 发送精心构造的 GET 请求，在目标系统上执行任意 PHP 代码，从而完全控制服务器。该漏洞利用门槛极低，危害性极高，可导致攻击者完全接管家庭自动化系统，建议所有使用 MajorDoMo 的组织立即检查并修复此漏洞。

MajorDoMo