ExifTool macOS指令注入漏洞CVE-2026-3102

概要

CVE-2026-3102 是 ExifTool 的 macOS 專屬 OS Command Injection 漏洞,由卡巴斯基研究團隊揭露,2026年2月在版本 13.50 中修補。攻擊者透過竄改 PNG 圖片 DateTimeOriginal metadata 欄位嵌入惡意 shell 指令,當 SetMacOSTags 函式執行時觸發任意指令執行。

漏洞細節

  • CVE:CVE-2026-3102
  • CVSS:重大
  • 影響版本:ExifTool ≤ 13.49
  • 修補版本:ExifTool 13.50
  • 平台:僅 macOS
  • 漏洞函式SetMacOSTags(處理 PNG)
  • 攻擊向量:惡意圖片 metadata DateTimeOriginal 欄位

攻擊流程

  1. 攻擊者製作含惡意 metadata 的 PNG 圖片
  2. 受害者以含漏洞版本 ExifTool 處理圖片
  3. SetMacOSTags 執行 DateTimeOriginal 中的惡意指令
  4. 可能後果:木馬植入、竊資軟體執行、系統遭控制、資料外洩

緩解措施

  • 升級 ExifTool 至 13.50 或更新版本
  • 確認整合 ExifTool 的第三方平台(影像管理、DAM)已同步升級

來源文章

相關頁面

  • kaspersky — 揭露此漏洞的資安公司