ExifTool修補macOS指令注入漏洞,未更新可能導致惡意圖片metadata觸發執行任意指令
漏洞簡介
在多媒體工作流程廣泛使用的開源影像metadata處理工具ExifTool,於2026年2月修補重大漏洞CVE-2026-3102。該漏洞允許攻擊者透過精心構造的惡意圖片元數據(metadata),在macOS環境下觸發指令注入(OS Command Injection)問題,進而執行任意系統指令。
漏洞影響範圍與修補資訊
- 影響版本:ExifTool 13.49 以前版本。
- 修補版本:已在 ExifTool 13.50 版本中完成修補。
- 修補方式:改以參數列表形式呼叫 system,避免 shell 字串串接風險,降低指令注入風險。
攻擊機制說明
攻擊者可將惡意的 shell 指令嵌入圖片的 metadata 中,當 macOS 系統使用舊版 ExifTool(13.50 以前)處理該圖片時,這些指令會被自動執行,導致系統被入侵,進而可能被用於下載惡意載荷(payload)、竊取敏感資料或植入後門。
風險與建議
- 企業用戶需確認所使用的影像管理軟體、數位資產管理平臺等,是否已整合並升級至 ExifTool 13.50 或更高版本。
- 建議定期檢查並更新所有與圖片處理相關的腳本與應用程式,以避免因未更新導致安全風險。
- 若系統環境中存在處理圖片的自動化流程,應立即評估並升級相關工具版本。