CVE-2026-43893 in exiftool-vendored.jsinfo

Zusammenfassung

von VulDB • 13.05.2026

exiftool-vendored bietet plattformübergreifenden Node.js-Zugriff auf ExifTool. Vor Version 35.19.0 startete exiftool-vendored ExifTool im Modus `-stay_open True -@ -`, wobei die Argumente zeilenweise von stdin gelesen wurden. In den betroffenen Versionen wurden mehrere, vom Aufrufer bereitgestellte Strings in ExifTool-Argumente interpoliert, ohne Zeilenumbruchzeichen abzulehnen. Ein Zeilenumbruch oder Wagenrücklauf innerhalb eines dieser Strings konnte ein einzelnes beabsichtigtes Argument in mehrere ExifTool-Argumente aufspalten, was eine Argument-Injektion ermöglichte. Die Korrektur lehnt zudem NUL-Bytes als unsichere Steuerzeichen ab. Anwendungen, die angreiferkontrollierte Strings an betroffene APIs übergeben, können es einem Angreifer ermöglichen, ExifTool dazu zu bringen, Dateien zu lesen, die für den ExifTool-Prozess zugänglich sind, oder Ausgaben in vom Angreifer gewählte, für diesen Prozess zugängliche Dateisystempfade zu schreiben. Eine Remote-Code-Ausführung (RCE) wurde nicht nachgewiesen. Diese Schwachstelle wurde in Version 35.19.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

04.05.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362902

CPE

bereit

EPSS

0.00139

KEV

nein

Aktivitäten

very low

Sektor

Finance, Insurance, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43893
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43893
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43893/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!