CVE-2026-43893 in exiftool-vendored.js
Сводка
по VulDB • 02.06.2026
exiftool-vendored обеспечивает кроссплатформенный доступ к ExifTool из Node.js. Версии до 35.19.0 запускают ExifTool в режиме `-stay_open True -@ -`, при котором аргументы считываются из stdin по одному на строку. В затронутых версиях несколько строк, передаваемых вызывающим кодом, интерполировались в аргументы ExifTool без проверки на наличие разделителей строк. Наличие символа новой строки или возврата каретки внутри одной из таких строк могло привести к разделению одного предполагаемого аргумента на несколько аргументов ExifTool, что позволяло осуществлять инъекцию аргументов. В исправлении также добавлена блокировка байтов NUL как небезопасных управляющих символов. Приложения, передающие строки, контролируемые злоумышленником, в затронутые API, могут позволить злоумышленнику заставить ExifTool читать файлы, доступные процессу ExifTool, или записывать вывод в пути файловой системы, выбранные злоумышленником и доступные этому процессу. Удаленное выполнение кода (RCE) продемонстрировано не было. Уязвимость исправлена в версии 35.19.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.