在多媒體工作流程廣泛使用的開源影像metadata處理工具ExifTool,2月修補重大漏洞CVE-2026-3102,若不修補,攻擊者可透過特製圖片檔的metadata,在macOS環境下觸發作業系統指令注入(OS Command Injection)問題,進而執行任意指令。此漏洞影響ExifTool 13.49以前版本,已在13.50版完成修補,由於許多影像管理軟體、數位資產管理等平臺也都直接整合ExifTool,所以企業用戶也需確認相關平臺是否已升級新版ExifTool。
這項漏洞是由卡巴斯基研究團隊揭露,主要影響macOS環境,存在於ExifTool在該平臺處理PNG檔案使用的SetMacOSTags函式,攻擊者可透過竄改圖片metadata的DateTimeOriginal欄位內容,將惡意shell指令嵌入,當存在此漏洞的ExifTool處理到metadata夾帶惡意指令的圖片時,就會執行攻擊者指定的命令而感染木馬程式或竊資軟體,導致系統遭控制或資料外洩。
