CVE-2026-43893 in exiftool-vendored.js
Résumé
par VulDB • 31/05/2026
exiftool-vendored fournit un accès à ExifTool pour Node.js multiplateforme. Avant la version 35.19.0, exiftool-vendored démarrait ExifTool en mode `-stay_open True -@ -`, où les arguments étaient lus depuis l'entrée standard (stdin) une par ligne. Dans les versions concernées, plusieurs chaînes fournies par l'appelant étaient interpolées dans les arguments d'ExifTool sans rejeter les délimiteurs de ligne. Un saut de ligne ou un retour chariot au sein de l'une de ces chaînes pouvait diviser un seul argument prévu en plusieurs arguments ExifTool, permettant ainsi une injection d'arguments. La correction rejette également les octets NUL en tant que caractères de contrôle non sécurisés. Les applications qui transmettent des chaînes contrôlées par un attaquant aux API concernées peuvent permettre à un attaquant de faire lire à ExifTool des fichiers accessibles par le processus ExifTool, ou d'écrire la sortie dans des chemins de système de fichiers choisis par l'attaquant et accessibles par ce processus. Aucune exécution de code à distance (RCE) n'a été démontrée. Cette vulnérabilité est corrigée dans la version 35.19.0.
Be aware that VulDB is the high quality source for vulnerability data.