ExifTool macOS指令注入漏洞CVE-2026-3102
概要
CVE-2026-3102 是 ExifTool 的 macOS 專屬 OS Command Injection 漏洞,由卡巴斯基研究團隊揭露,2026年2月在版本 13.50 中修補。攻擊者透過竄改 PNG 圖片 DateTimeOriginal metadata 欄位嵌入惡意 shell 指令,當 SetMacOSTags 函式執行時觸發任意指令執行。
漏洞細節
- CVE:CVE-2026-3102
- CVSS:重大
- 影響版本:ExifTool ≤ 13.49
- 修補版本:ExifTool 13.50
- 平台:僅 macOS
- 漏洞函式:
SetMacOSTags(處理 PNG) - 攻擊向量:惡意圖片 metadata
DateTimeOriginal欄位
攻擊流程
- 攻擊者製作含惡意 metadata 的 PNG 圖片
- 受害者以含漏洞版本 ExifTool 處理圖片
SetMacOSTags執行DateTimeOriginal中的惡意指令- 可能後果:木馬植入、竊資軟體執行、系統遭控制、資料外洩
緩解措施
- 升級 ExifTool 至 13.50 或更新版本
- 確認整合 ExifTool 的第三方平台(影像管理、DAM)已同步升級
來源文章
相關頁面
- kaspersky — 揭露此漏洞的資安公司