Come una singola immagine può compromettere il suo Mac

La vulnerabilità CVE-2026-3102 in ExifTool consente a un attaccante di eseguire comandi shell arbitrari su macOS attraverso file immagine maliziosi. La falla è dovuta a una carente sanitizzazione dei dati di input, permettendo l'esecuzione di codice non autorizzato. Questa vulnerabilità rappresenta un rischio significativo per la sicurezza dei sistemi macOS che utilizzano versioni obsolete di ExifTool.

ExifTool è una popolare utility per la lettura e scrittura dei metadati nei file di immagini, PDF, audio e video. Disponibile sia come applicazione a riga di comando che come libreria integrabile in altri software, ExifTool è stata recentemente al centro dell’attenzione per una vulnerabilità denominata CVE-2026-3102, scoperta dagli esperti del Global Research and Analysis Team (GReAT) di Kaspersky Lab nel febbraio 2026 e prontamente corretta dai sviluppatori. La falla interessa i sistemi macOS con versioni di ExifTool precedenti alla 13.49.

La vulnerabilità si basa su una carente sanitizzazione dei dati di input durante l’elaborazione di alcuni tag metadati in macOS. Un attaccante può preparare un’immagine con comandi maliziosi incorporati nel campo della data nei metadati, inducendo così l’esecuzione del codice quando il file viene elaborato.

La scoperta è avvenuta durante un riesame di una precedente vulnerabilità, il CVE-2021-22204, che permetteva l’uso di una carente sanitizzazione basata su espressioni regolari prima della trasmissione dell’input utente alla funzione eval.

La nuova vulnerabilità, CVE-2026-3102, consente a un attaccante di eseguire comandi shell arbitrari con i privilegi dell’utente che ha avviato ExifTool, potenzialmente portando a una completa compromissione del sistema.

Per sfruttare questa vulnerabilità è necessario utilizzare il flag -n (o printConv), che esegue l’output dei dati in formato leggibile dalla macchina senza ulteriori elaborazioni.

L’analisi della compromissione dei dati ha permesso di identificare i “dati contaminati” che possono essere trasmessi a funzioni pericolose senza la dovuta validazione. In ExifTool, le funzioni critiche sono eval e system, entrambe capaci di eseguire comandi di sistema. 

Il percorso dei dati utente non sanitizzati verso il punto di esecuzione vulnerabile è stato tracciato attraverso la funzione SetMacOSTags. All’interno di questa funzione, il valore della data ($val) viene formato da tre parametri di input: $file (correttamente sanitizzato), $setTags (elaborato iterativamente) e $val (sotto controllo dell’utente e non sanitizzato). ExifTool utilizza l’attributo MDItemFSCreationDate del sistema di ricerca Spotlight per lavorare con le date di creazione dei file in macOS, che viene mappato all’interno della variabile $FileCreateDate. Questa correlazione è alla base della vulnerabilità.

Durante il parsing dell’immagine, ExifTool esamina i tag trovati e assegna il nome del tag corrente a $tag e il suo contenuto testuale a $val. Il codice vulnerabile si attiva solo quando $tag corrisponde a MDItemFSCreationDate o $FileCreateDate, permettendo così al contenuto di $val di essere trasmesso a SetMacOSTags senza sanitizzazione. Questo permette a un attaccante di inserire comandi maliziosi nel campo della data.

Per sfruttare la vulnerabilità, è stato necessario trovare un metodo per consegnare il payload malevolo al parametro FileCreateDate senza attivare una validazione dei dati. La soluzione è stata trovata nella documentazione ufficiale di ExifTool, che descrive come l’utility gestisce le operazioni sui tag.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance