Exiftool até 13.53 JPEG/QuickTime/MOV/MP4 lib/Image/ExifTool/GM.pm Process_mrld -ee Elevação de Privilégios
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Sumário
Foi detectada uma vulnerabilidade classificada como problemático em Exiftool até 13.53. O impacto ocorre em a função Process_mrld no arquivo lib/Image/ExifTool/GM.pm no componente JPEG/QuickTime/MOV/MP4. O tratamento do parâmetro -ee leva a Elevação de Privilégios.
Esta vulnerabilidade é referenciada como CVE-2026-7580. O ataque requer abordagem local. Adicionalmente, há um exploit disponível.
É recomendado atualizar o componente afetado.
Detalhes
Foi detectada uma vulnerabilidade classificada como problemático em Exiftool até 13.53. O impacto ocorre em a função Process_mrld no arquivo lib/Image/ExifTool/GM.pm no componente JPEG/QuickTime/MOV/MP4. O tratamento do parâmetro -ee leva a Elevação de Privilégios. Declarar o problema usando CWE resulta em CWE-94. O problema foi divulgado. O aviso pode ser baixado em youtu.be.
Esta vulnerabilidade é referenciada como CVE-2026-7580. O ataque requer abordagem local. Informações técnicas estão acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Adicionalmente, há um exploit disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O projeto MITRE ATT&CK identifica a técnica de ataque como T1059.
Está declarado como prova de conceito.
A atualização para a versão 13.54 pode solucionar este problema. A versão actualizada está pronta para ser descarregada em github.com. O nome do adesivo é 5a8b6b6ead12b39e3f32f978a4efd0233facbb01. O bugfix está disponível para download em github.com. É recomendado atualizar o componente afetado.
Produto
Nome
Versão
- 13.0
- 13.1
- 13.2
- 13.3
- 13.4
- 13.5
- 13.6
- 13.7
- 13.8
- 13.9
- 13.10
- 13.11
- 13.12
- 13.13
- 13.14
- 13.15
- 13.16
- 13.17
- 13.18
- 13.19
- 13.20
- 13.21
- 13.22
- 13.23
- 13.24
- 13.25
- 13.26
- 13.27
- 13.28
- 13.29
- 13.30
- 13.31
- 13.32
- 13.33
- 13.34
- 13.35
- 13.36
- 13.37
- 13.38
- 13.39
- 13.40
- 13.41
- 13.42
- 13.43
- 13.44
- 13.45
- 13.46
- 13.47
- 13.48
- 13.49
- 13.50
- 13.51
- 13.52
- 13.53
Licença
Site
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔒VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 5.3VulDB Meta Pontuação Temporária: 4.8
VulDB Pontuação Base: 5.3
VulDB Pontuação Temporária: 4.8
VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔒
VulDB Pontuação Temporária: 🔒
VulDB Fiabilidade: 🔍
Exploração
Classe: Elevação de PrivilégiosCWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Físico: Parcial
Local: Sim
Remoto: Não
Disponibilidade: 🔒
Estado: Prova de conceito
Autor: Ilyass El Hadi
EPSS Score: 🔒
EPSS Percentile: 🔒
Tendência de preços: 🔍
Estimativa de preço atual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo 0-dia: 🔒
Atualização: Exiftool 13.54
Patch: 5a8b6b6ead12b39e3f32f978a4efd0233facbb01
Linha do tempo
01/05/2026 Aviso publicado01/05/2026 Entrada VulDB criada
01/05/2026 Última atualização da VulDB
Fontes
Produto: github.comAconselhamento: youtu.be
Estado: Confirmado
Confirmação: 🔒
CVE: CVE-2026-7580 (🔒)
GCVE (CVE): GCVE-0-2026-7580
GCVE (VulDB): GCVE-100-360421
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrada
Criado: 01/05/2026 08h25Atualizado: 01/05/2026 16h13
Ajustamentos: 01/05/2026 08h25 (61), 01/05/2026 16h13 (2)
Completo: 🔍
Submissor: ilyass-armadin
Editor: ilyass-armadin
Cache ID: 216::103
Submeter
Aceite
- Submeter #800049: Exiftool Project Exiftool Before 13.54 Code Injection (de youtu.be)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.