CVE-2026-43893

Nome do Software Vulnerável e Versões Afetadas exiftool-vendored versões anteriores a 35.19.0

Descrição Determinadas strings fornecidas pelo chamador são interpoladas em argumentos do ExifTool sem a rejeição de delimitadores de linha. Uma nova linha ou retorno de carro dentro dessas strings pode dividir um único argumento pretendido em múltiplos argumentos, levando à injeção de argumentos. Isso ocorre porque o software inicia o ExifTool em um modo onde os argumentos são lidos do stdin, um por linha. Esse problema permite que um invasor force o ExifTool a ler arquivos acessíveis ao processo ou gravar a saída em caminhos do sistema de arquivos escolhidos pelo invasor. O problema afeta especificamente argumentos de nome de tag (chaves de tag), argumentos de nome de arquivo ou caminho e a opção imageHashType. As funções afetadas incluem ExifTool#write(), ExifTool#read(), ExifTool#readRaw(), ExifTool#deleteAllTags(), ExifTool#rewriteAllTags(), ExifTool#extractBinaryTag(), ExifTool#extractBinaryTagToBuffer(), ExifTool#extractJpgFromRaw(), ExifTool#extractPreview() e ExifTool#extractThumbnail().

Recomendações Atualize para a versão 35.19.0 ou posterior. Como solução temporária, rejeite strings não confiáveis que contenham caracteres de controle antes de passá-las para as APIs afetadas, especificamente para nomes de tags, entradas de retain ou numericTags, nomes de tags de extração binária, nomes de arquivos e a opção imageHashType.