研究者は、GoogleのVirusTotalプラットフォームにおける重大なRCEの脆弱性を報告しています

セキュリティ研究者は、リモートコード実行（RCE）を実現するために潜在的に武器化された可能性のあるVirusTotalプラットフォームのセキュリティの脆弱性を明らかにしました。
パッチが適用されたこの欠陥により、「VirusTotalプラットフォーム内でコマンドをリモートで実行し、さまざまなスキャン機能にアクセスできるようになりました」と、Cysourceの研究者であるShaiAlfasiとMarlonFabianodaSilvaはTheHackerNewsと独占的に共有したレポートで述べています。
攻撃方法では、プラットフォームのWebユーザーインターフェイスを介してDjVuファイルをアップロードし、それを使用して、画像内のEXIFメタデータ情報の読み取りと編集に使用されるオープンソースユーティリティであるExifToolの重大度の高いリモートコード実行の欠陥のエクスプロイトをトリガーしました。
Cysourceは、2021年4月30日にGoogleのVulnerability Reward Programs（VRP）を通じて責任を持ってバグを報告し、その後セキュリティの弱点が即座に修正されたと述べました。