CVE-2026-7580Exiftool是一款广泛使用的元数据读写工具,其在13.53及之前的版本中存在安全漏洞。该漏洞位于`lib/Image/ExifTool/GM.pm`文件的`Process_mrld`函数中,涉及对JPEG、QuickTime、MOV及MP4文件的处理。攻击者可以通过操纵`-ee`参数触发代码注入,尽管攻击需要本地访问权限且用户交互要求较低,但仍可能导致机密性、完整性和可用性受到低程度影响。建议用户尽快升级至13.54版本以修复此风险。
该漏洞的根源在于Exiftool处理特定文件格式元数据时的输入验证机制存在缺陷。具体而言,受影响的组件是`lib/Image/ExifTool/GM.pm`模块中的`Process_mrld`函数。当Exiftool解析JPEG、MOV或MP4等格式的文件时,如果使用了`-ee`(提取嵌入式)参数,攻击者可以通过精心构造的恶意参数或文件内容,欺骗Exiftool将特定数据作为代码执行。由于Exiftool通常以处理用户提供的文件权限运行,这种代码注入可能导致攻击者在本地系统上执行任意命令。尽管CVSS评分为中危(5.3),且攻击需要本地条件(AV:L),但在自动化处理脚本或Web应用后端调用Exiftool的场景下,该漏洞可能被进一步利用。官方补丁通过修改提交`5a8b6b6ead12b39e3f32f978a4efd0233facbb01`加强了参数处理逻辑,以防止此类注入。开发者注释提到“为了安全起见,可能永远不会发生”,表明这是一个防御性修复,旨在消除潜在的边缘情况利用风险。