如果该漏洞被利用,攻击者不仅可以访问谷歌控制的环境,还可以获取超过50个内部主机。安全研究人员在VirusTotal平台中发现了一个严重漏洞,可以利用该漏洞实现远程代码执行(RCE)。此错误已修复。据研究人员称,该漏洞可用于“在VirusTotal平台上远程执行命令并访问其各种扫描功能”。VirusTotal是GoogleChronicle安全部门的一部分,是一种恶意软件扫描服务,可分析可疑文件和URL,并使用70多种第三方防病毒产品检查病毒。高危漏洞编号为CVE-2021-22204(CVSS7.8分),是ExifTool对DjVu文件处理不当导致的任意代码执行漏洞。该攻击方式通过平台Web界面上传DjVu文件,触发ExifTool远程代码执行高危漏洞利用。ExifTool是一个开源工具,用于读取和编辑图像和PDF文件中的EXIF元数据信息。目前,维护者已经在2021年4月13日发布的安全更新中修复了该漏洞。GoogleVirusTotal开源组件暴露高危漏洞,可获取内网50多台内部主机高权限访问。谷歌VirusTotal开源组件暴露高危漏洞,可获取内网访问权限,VirusTotal会将payload转移到其他主机。因此,我们不仅获得了RCE,而且还由谷歌服务器转发给谷歌内网、客户和合作伙伴。”研究人员指出,它是在2021年4月13日通过的。该漏洞已报告给漏洞赏金计划,随后得到修复。这不是ExifTool漏洞第一次成为RCE的先行者。去年,GitLab修复了一个严重漏洞CVE-2021-22205(CVSS:10分),该漏洞可能因用户提供的图片验证不当导致任意代码执行。
