Yönelik Kritik Güvenlik Açığı: ExifTool'da Komut Enjeksiyonu

GReAT, dünya çapında görsel, video ve PDF dosyalarındaki meta verileri okumak ve düzenlemek için kullanılan açık kaynaklı ExifTool yazılımında bir komut enjeksiyonu güvenlik açığı (CVE-2026-3102) tespit etti.

ExifTool’un 13.49 ve önceki sürümlerini çalıştıran macOS sistemlerini etkileyen bu kusur, bir saldırganın bir görsel dosyasının meta verilerine gizli talimatlar yerleştirerek hedef sistemde rastgele komutlar yürütmesine imkan tanıyor. Projenin geliştiricisi Phil Harvey, 7 Şubat’ta yayınlanan 13.50 sürümüyle söz konusu açığı giderdi.

Güvenlik açığı, ExifTool’un macOS üzerinde belirli meta veri etiketlerini işleme biçimindeki yetersiz girdi temizleme (input sanitization) prosedürlerinden kaynaklanıyor. Bir saldırgan, kötü amaçlı komutlar içeren “silahlandırılmış” bir PNG dosyası oluşturabiliyor ve bu dosya ExifTool tarafından işlendiği anda komutlar hedef sistemde otomatik olarak çalışıyor. İstismar süreci oldukça düşük karmaşıklığa sahip: İlk komut silahlandırılmış görseli oluşturuyor, ikinci komut ise hedef sistemdeki yürütme sürecini tetikliyor.

Bu açık istismar edildiğinde, tehdit aktörleri tehlikeye atılmış makineye ek kötü amaçlı yazılım (payload) indirme, bunları çalıştırma veya sistemde depolanan görseller ve PDF’ler de dahil olmak üzere hassas verileri ele geçirme yetkisine sahip olabiliyor.

Görsel, ses, video ve PDF meta verilerini okuma, yazma ve işleme yeteneğine sahip olan ExifTool; dijital iş akışlarında, adli bilişim analizlerinde ve kütüphane arşivleme süreçlerinde yaygın olarak kullanılıyor. Tipik Açık Kaynak İstihbaratı (OSINT) faaliyetleri arasında; çekim tarihlerinin/konumlarının çıkarılması, düzenleme yazılımlarının tespiti, yan dosyaların (sidecar) eşleştirilmesi ve sürümler arası meta veri farklılıklarının karşılaştırılması yer alıyor.

CVE-2026-3102’ye karşı korunmak için güvenlik uzmanları, ExifTool’un 13.50 veya daha yeni bir sürüme güncellenmesini öneriyor. macOS üzerinde yamalanmamış sürümlerle güvenilir olmayan kaynaklardan gelen görsel dosyalarının işlenmemesi tavsiye ediliyor. Ayrıca ExifTool’u çağıran otomatik iş akışları ve betiklerin gözden geçirilerek yamalı sürüme referans verdiklerinin teyit edilmesi gerekiyor.