研究人员披露了谷歌 VirusTotal 平台中的高危RCE 漏洞

安全研究人员披露了VirusTotal平台中的一个安全漏洞，该漏洞可能已被武器化，从而实现远程代码执行(RCE)。该漏洞跟踪为CVE-2021-22204(CVSS评分:7.8)，其在于ExifTool错误处理DjVu文件导致的任意代码执行。这不是ExifTool漏洞第一次作为实现远程代码执行的管道出现。去年，GitLab修复了一个关键缺陷(CVE-2021-22205，CVSS评分:10.0)，此漏洞与对用户提供的图像进行不正确的验证有关，从而导致任意代码执行。