CVE-2026-3102

Nome do Software Vulnerável e Versões Afetadas exiftool versões anteriores a 13.50

Descrição Um problema de injeção de comando de SO existe no componente PNG File Parser do exiftool no macOS. A falha está localizada na função SetMacOSTags() dentro do arquivo lib/Image/ExifTool/MacOS.pm. Um invasor remoto pode obter a execução de código arbitrário com privilégios de usuário ao incorporar comandos de shell nos metadados EXIF DateTimeOriginal de uma imagem maliciosa. O ataque é acionado quando o parâmetro $val não sanitizado é passado para uma chamada system() durante o processamento da tag DateTimeOriginal, especificamente ao usar a flag -n (modo de saída bruta) e o recurso -tagsFromFile para copiar dados para a tag FileCreateDate. Esse processo ignora a validação do filtro PrintConvInv, permitindo que o comando /usr/bin/setfile execute a carga útil injetada.

Recomendações Atualize o exiftool para a versão 13.50 ou posterior. Como medida paliativa temporária, evite usar a flag -n e o recurso -tagsFromFile ao processar imagens de fontes não confiáveis para evitar que o caminho de código vulnerável seja acionado.