Vulnérabilité d’injection de commande dans ExifTool (CVE-2026-3102)

Une faille critique a été découverte dans l’utilitaire ExifTool (versions 13.49 et antérieures) sur macOS, permettant à un attaquant d’exécuter des commandes arbitraires avec les privilèges de l’utilisateur.

Points clés :

• Origine : La vulnérabilité réside dans la fonction SetMacOSTags, qui traite les métadonnées de fichiers (notamment FileCreateDate).
• Mécanisme : Le problème survient lors de l’utilisation de l’option -tagsFromFile couplée à l’indicateur -n (qui désactive la validation des données). Un attaquant peut injecter des caractères spéciaux (guillemets simples) dans une métadonnée source, qui sont ensuite mal interprétés lors de l’appel à la commande système setfile.
• Impact : Une exécution de commande réussie peut mener à une compromission totale du système, au déploiement de logiciels malveillants ou à l’exfiltration de données.

Vulnérabilité :

• CVE-2026-3102 : Injection de commande via une mauvaise gestion des métadonnées lors de la copie de tags vers des attributs de fichiers macOS.

Recommandations :

• Mise à jour : Mettre à jour immédiatement vers ExifTool version 13.50 ou supérieure. Vérifiez également les bibliothèques intégrées dans vos logiciels tiers et scripts d’automatisation.
• Isolation : Traiter les fichiers provenant de sources non fiables dans des environnements isolés (conteneurs, machines virtuelles) avec des accès restreints au réseau et au stockage.
• Bonnes pratiques de développement : Privilégier l’utilisation d’appels système sous forme de liste d’arguments plutôt que la concaténation de chaînes de caractères, afin d’éliminer définitivement les risques d’injection shell.
• Monitoring : Utiliser des solutions de protection des points de terminaison (EDR/Antivirus) pour détecter les comportements suspects liés au traitement de fichiers multimédias.

Source