ExifTool修補macOS指令注入漏洞,未更新可能導致惡意圖片metadata觸發執行任意指令

來源: iThome(ID: 620) URL: https://www.ithome.com.tw/news/176164 發布日期: 2026-05-27

摘要

ExifTool 發布 13.50 版本,修補 CVE-2026-3102 macOS 指令注入漏洞。此漏洞由卡巴斯基研究團隊揭露,僅影響 macOS 環境。攻擊者可在 PNG 圖片的 DateTimeOriginal metadata 欄位嵌入惡意 shell 指令,當受害者使用未更新版本的 ExifTool 處理圖片時,SetMacOSTags 函式將執行該惡意指令,可導致木馬植入、竊資軟體執行、系統遭控制及資料外洩。

漏洞細節

項目詳情
CVECVE-2026-3102
嚴重程度重大
影響版本ExifTool 13.49 以前
修補版本13.50
揭露單位卡巴斯基研究團隊
漏洞類型OS Command Injection
攻擊平台僅 macOS
漏洞函式SetMacOSTags
攻擊向量PNG 圖片 DateTimeOriginal 欄位嵌入惡意指令

行動建議

  • 立即升級 ExifTool 至 13.50 或更新版本
  • 企業用戶需確認整合 ExifTool 的第三方平台是否同步升級

衍生頁面