Una vulnerabilità in uno strumento open source per la gestione dei metadati, ampiamente utilizzato, consente l’esecuzione di codice arbitrario tramite file immagine appositamente creati; è già disponibile una patch.
Il Global Research and Analysis Team (GReAT) di Kaspersky ha individuato una vulnerabilità di tipo command injection (CVE-2026-3102) in ExifTool, uno strumento gratuito e open source utilizzato in tutto il mondo per leggere e modificare i metadati di immagini, video e file PDF. La falla, che interessa i sistemi MacOS che eseguono ExifTool versione 13.49 e precedenti, potrebbe consentire a un aggressore di eseguire comandi arbitrari incorporando istruzioni nascoste nei metadati di un file immagine. Il responsabile del progetto, Phil Harvey, ha corretto la vulnerabilità nella versione 13.50 di ExifTool, rilasciata il 7 febbraio.
La vulnerabilità deriva da una sanificazione impropria degli input nel modo in cui ExifTool elabora determinati tag di metadati su MacOS. Un aggressore può creare un file PNG dannoso contenente comandi incorporati che vengono eseguiti quando ExifTool elabora il file. L’exploit è di bassa complessità: un comando genera l’immagine compromessa e un secondo comando ne attiva l’esecuzione sul sistema di destinazione.
Una volta sfruttata, la vulnerabilità potrebbe consentire a un malintenzionato di scaricare ed eseguire ulteriori payload malware o di raccogliere informazioni sensibili dai file, incluse immagini e PDF, archiviati sul computer compromesso.
ExifTool è un programma software gratuito e open source per la lettura, la scrittura e la manipolazione dei metadati di immagini, audio, video e PDF. È comunemente integrato in diversi tipi di workflow digitali ed è spesso utilizzato nell’analisi forense digitale e nell’archiviazione di library. I tipici pivot OSINT includono l’estrazione di date e luoghi di acquisizione, l’identificazione del software di editing, la riconciliazione dei file sidecar e il confronto dei delta dei metadati tra diverse versioni.
“Quello che rende questa vulnerabilità particolarmente rilevante è il contrasto tra la semplicità con cui può essere sfruttata utilizzando determinate righe di comando e la profonda integrazione di ExifTool nei flussi di lavoro professionali. Chiunque utilizzi ExifTool su MacOS dovrebbe aggiornarlo alla versione 13.50, mentre i team che impiegano pipeline automatizzate dovrebbero verificare anche quale versione viene richiamata dai propri script”, ha dichiarato Lucas Tay, Security Researcher di Kaspersky GReAT.
Per mitigare CVE-2026-3102, Kaspersky raccomanda di:
- Aggiornare ExifTool alla versione 13.50 o successive.
- Evitare di elaborare file immagine provenienti da fonti non attendibili con versioni non aggiornate su MacOS.
- Verificare i flussi di lavoro automatizzati e gli script che richiamano ExifTool per confermare che facciano riferimento alla versione aggiornata.
Le aziende che utilizzano componenti open source nei propri flussi di lavoro possono avvalersi di Kaspersky Open Source Software Threats Data Feed per monitorare costantemente le vulnerabilità lungo l’intera catena di fornitura del software.
