Dobby153

**Nome do Software Vulnerável e Versões Afetadas** exiftool-vendored versões anteriores a 35.19.0 **Descrição** Determinadas strings fornecidas pelo chamador são interpoladas em argumentos do ExifTool sem a rejeição de delimitadores de linha. Uma nova linha ou retorno de carro dentro dessas strings pode dividir um único argumento pretendido em múltiplos argumentos, levando à injeção de argumentos. Isso ocorre porque o software inicia o ExifTool em um modo onde os argumentos são lidos do stdin, um por linha. Esse problema permite que um invasor force o ExifTool a ler arquivos acessíveis ao processo ou gravar a saída em caminhos do sistema de arquivos escolhidos pelo invasor. O problema afeta especificamente argumentos de nome de tag (chaves de tag), argumentos de nome de arquivo ou caminho e a opção `imageHashType`. As funções afetadas incluem `ExifTool#write()`, `ExifTool#read()`, `ExifTool#readRaw()`, `ExifTool#deleteAllTags()`, `ExifTool#rewriteAllTags()`, `ExifTool#extractBinaryTag()`, `ExifTool#extractBinaryTagToBuffer()`, `ExifTool#extractJpgFromRaw()`, `ExifTool#extractPreview()` e `ExifTool#extractThumbnail()`. **Recomendações** Atualize para a versão 35.19.0 ou posterior. Como solução temporária, rejeite strings não confiáveis que contenham caracteres de controle antes de passá-las para as APIs afetadas, especificamente para nomes de tags, entradas de `retain` ou `numericTags`, nomes de tags de extração binária, nomes de arquivos e a opção `imageHashType`.