Owl4444

**Nome do Software Vulnerável e Versões Afetadas** exiftool versões anteriores a 13.50 **Descrição** Um problema de injeção de comando de SO existe no componente PNG File Parser do exiftool no macOS. A falha está localizada na função `SetMacOSTags()` dentro do arquivo `lib/Image/ExifTool/MacOS.pm`. Um invasor remoto pode obter a execução de código arbitrário com privilégios de usuário ao incorporar comandos de shell nos metadados EXIF `DateTimeOriginal` de uma imagem maliciosa. O ataque é acionado quando o parâmetro `$val` não sanitizado é passado para uma chamada `system()` durante o processamento da tag `DateTimeOriginal`, especificamente ao usar a flag `-n` (modo de saída bruta) e o recurso `-tagsFromFile` para copiar dados para a tag `FileCreateDate`. Esse processo ignora a validação do filtro `PrintConvInv`, permitindo que o comando `/usr/bin/setfile` execute a carga útil injetada. **Recomendações** Atualize o exiftool para a versão 13.50 ou posterior. Como medida paliativa temporária, evite usar a flag `-n` e o recurso `-tagsFromFile` ao processar imagens de fontes não confiáveis para evitar que o caminho de código vulnerável seja acionado.