CVE-2026-3102

Параметр	Значение
CVSS	5,3 (MEDIUM)
Тип уязвимости	CWE-77 (Внедрение команд), CWE-78 (Внедрение команд ОС)
Публичный эксплойт	Нет

Уязвимость была определена в exiftool до версии 13.49 на macOS. Эта проблема затрагивает функцию SetMacOSTags файла lib/Image/ExifTool/MacOS.pm компонента PNG File Parser. Эта манипуляция аргументом DateTimeOriginal приводит к внедрению команды os.

Атаку можно провести удаленно. Эксплойт был публично раскрыт и может быть использован. Обновление до версии 13.50 способно решить эту проблему.

Название патча: e9609a9bcc0d32bd252a709a562fb822d6dd86f7. Рекомендуется обновить затронутый компонент.

Показать оригинальное описание (EN)

A vulnerability was determined in exiftool up to 13.49 on macOS. This issue affects the function SetMacOSTags of the file lib/Image/ExifTool/MacOS.pm of the component PNG File Parser. This manipulation of the argument DateTimeOriginal causes os command injection. The attack is possible to be carried out remotely. The exploit has been publicly disclosed and may be utilized. Upgrading to version 13.50 is capable of addressing this issue. Patch name: e9609a9bcc0d32bd252a709a562fb822d6dd86f7. Upgrading the affected component is recommended.