ExifTool, una utilidad de código abierto omnipresente para leer y escribir metadatos de archivos, se encuentra en el centro de un grave fallo de seguridad que afecta a los entornos de macOS.

Descubierto por el Equipo de Investigación y Análisis Global (GReAT) de Kaspersky en febrero de 2026, el CVE-2026-3102 permite a los actores de amenazas ejecutar comandos de shell arbitrarios ocultando instrucciones maliciosas dentro de los metadatos de un archivo de imagen.

Al convertir una foto aparentemente benigna en un arma, los atacantes pueden desplegar troyanos silenciosamente, exfiltrar datos o establecer un punto de apoyo para el movimiento lateral a través de las redes corporativas.

Vulnerabilidad de ExifTool

La vulnerabilidad surge de una sanitización de entrada inconsistente que permite que los datos contaminados lleguen a un sumidero de ejecución peligroso.

Durante su análisis, los investigadores identificaron un fallo en la función SetMacOSTags. Cuando ExifTool procesa las fechas de creación de archivos en macOS, utiliza el atributo de sistema Spotlight MDItemFSCreationDate, que se mapea al alias interno FileCreateDate.

Cuando se procesan los metadatos, el contenido de texto de la etiqueta actual se asigna a la variable $val. Si la etiqueta coincide con los atributos de fecha de creación del archivo, estos datos fluyen directamente hacia la función SetMacOSTags.

Si bien el parámetro del nombre del archivo se escapa correctamente antes de llegar al sumidero system(), el valor de la fecha ($val) queda completamente sin sanitizar.

Esto permite que un atacante inyecte comillas simples, rompiendo la estructura del comando y ejecutando comandos de shell arbitrarios con los privilegios del usuario que ejecuta ExifTool.

Entrega de la Carga Útil Utilizando la Vulnerabilidad de ExifTool

Escribir directamente una carga útil de fecha malformada en FileCreateDate falla porque el filtro integrado PrintConvInv de ExifTool detecta y rechaza el formato de fecha/hora inválido.

Para evadir esto, debes aprovechar la bandera -n, que obliga a ExifTool a aceptar datos crudos, sin formato y legibles por máquina, saltándose completamente el paso de sanitización.

La secuencia de explotación se basa en los mecanismos de copia de ExifTool:

• Alojamiento de la Carga Útil: El atacante inyecta una carga útil maliciosa que contiene comillas simples en una etiqueta de origen sin restricciones, como DateTimeOriginal, utilizando la bandera -n.
• Activación de la Ejecución: El atacante utiliza la función -tagsFromFile para copiar los metadatos contaminados de la etiqueta de origen hacia FileCreateDate.

Dado que la ruta de código vulnerable solo se activa durante una operación de copia, y no en una escritura directa, esta secuencia logra forzar la entrada no sanitizada hacia el sumidero system().

ExifTool invoca el comando /usr/bin/setfile de macOS, y las comillas simples inyectadas permiten que la carga útil se ejecute sin problemas mediante la sustitución de comandos.

Tras la divulgación, los desarrolladores solucionaron el fallo en la versión 13.50 de ExifTool. La versión vulnerable 13.49 dependía de una concatenación de cadenas frágil para construir los comandos del sistema.

El parche altera fundamentalmente esta arquitectura al abstraer la llamada al sistema en un envoltorio System() dedicado.

En lugar de ejecutar una cadena concatenada, la aplicación ahora pasa una lista segura de argumentos a la llamada del sistema. Esta transición de la ejecución en forma de cadena a forma de lista elimina completamente los riesgos de interpretación del shell y elimina la necesidad de rutinas de escape manuales.

Mitigaciones

Si trabajas en organizaciones que utilizan macOS para el procesamiento de fotos, gestión de activos o flujos de trabajo periodísticos, deberías implementar las siguientes defensas:

• Audita y actualiza todos los scripts de procesamiento de imágenes masivas y las aplicaciones de gestión de activos para usar la versión 13.50 o posterior de ExifTool.
• Escanea los entornos de macOS en busca de software de terceros que pueda contener iteraciones antiguas e integradas de la librería ExifTool.
• Aísla el procesamiento de archivos no confiables dentro de entornos virtuales dedicados que cuenten con un acceso a red y almacenamiento estrictamente limitado.
• Aplica políticas estrictas de BYOD que requieran una protección activa del endpoint de macOS antes de que los dispositivos puedan acceder a las redes corporativas.