Si chiama ExifTool la vulnerabilità scoperta dal GReAT team di Kaspersky che interessa gli utenti macOS e consente di eseguire codice arbitrario tramite file immagine appositamente creati. La falla, monitorata con la sigla CVE-2026-3102, riguarda le versioni di ExifTool fino alla 13.49 e ha origine da una gestione impropria dell’input durante l’elaborazione di alcuni metadati. È stata chiusa dal manutentore del progetto con la pubblicazione della versione 13.50 che è disponibile dal 7 febbraio 2026.

ExifTool è un programma gratuito e open source ampiamente integrato in strumenti e workflow dedicati alla gestione e all’analisi dei metadati di immagini, video, audio e PDF. È usato in ambiti che spaziano dall’archiviazione digitale alla fotografia professionale, fino all’analisi forense. Proprio la sua diffusione trasversale, unita alla possibilità che venga richiamato automaticamente da script o applicazioni di terze parti, fanno sì che la presenza di una vulnerabilità anche in un singolo modulo possa propagarsi lungo l’intera catena di elaborazione, con potenziali implicazioni per la sicurezza dei sistemi che gestiscono file provenienti da fonti esterne.

Secondo l’analisi degli esperti di Kaspersky, la falla consente a un attaccante di creare un file PNG manipolato per includervi comandi nascosti nei metadati. Quando il file viene elaborato da ExifTool su macOS, tali comandi vengono eseguiti con i privilegi dell’utente che avvia il programma. L’attacco è considerato di bassa complessità: sono sufficienti poche istruzioni da riga di comando per produrre e attivare l’immagine compromessa. Una volta sfruttata, la vulnerabilità può consentire il download e l’esecuzione di ulteriori payload malevoli o l’accesso non autorizzato a informazioni sensibili presenti sul sistema.

La patch introdotta con la versione 13.50 elimina il problema di sanificazione degli input e previene l’esecuzione di comandi indesiderati. È efficace, quindi Kaspersky consiglia agli utenti macOS di aggiornare ExifTool a questa versione o a una successiva e di verificare che tutti gli script o i workflow automatizzati impieghino la release aggiornata.

La scoperta di questa falla richiama l’attenzione sulla gestione delle dipendenze open source e sull’impatto che una vulnerabilità, anche di basso profilo tecnico, può esercitare su catene di fornitura software articolate. ExifTool, come molte librerie o utility integrate, è uno strumento di supporto che raramente viene monitorato con la stessa attenzione riservata ai componenti principali. Tuttavia, la sua manipolazione diretta di dati provenienti dall’esterno lo rende un potenziale punto d’ingresso per codice malevolo.

Per mitigare il rischio, oltre all’aggiornamento, Kaspersky raccomanda di non elaborare file provenienti da fonti non attendibili o con versioni del software prive di patch. L’azienda suggerisce anche di adottare strumenti di monitoraggio delle vulnerabilità open source con l’obiettivo di individuare in modo continuativo falle in librerie o componenti utilizzati lungo la supply chain del software.