关于apache:谷歌VirusTotal开源组件曝高危漏洞可获取内网访问权限

如破绽遭利用，可导致攻击者不仅拜访受谷歌管制的环境，还能够高权限拜访50多个外部主机。
平安研究员在 VirusTotal 平台上发现了一个重大破绽，可被用于实现近程代码执行 (RCE)。

该破绽已修复。研究员指出，该破绽可被用于“VirusTotal 平台上近程执行命令，并取得对其多种扫描能力的拜访权限”。

VirusTotal 是谷歌 Chronicle 平安子机构的组成部分，是一款恶意软件扫描服务，可能通过70多款第三方反病毒产品剖析可疑文件和URLs 并查看病毒。

该高危破绽的编号为CVE-2021-22204（CVSS 7.8分），是因ExifTool 对DjVu文件的不当解决引发的任意代码执行破绽。该攻打办法通过平台的 web 用户接口上传 DjVu 文件，触发 ExifTool 中的高危近程代码执行缺点的 exploit。ExifTool 是一款开源工具，用于读取和编辑图片和PDF文件中的EXIF元数据信息。目前保护人员已在2021年4月13日公布的安全更新中修复该破绽。

谷歌VirusTotal开源组件曝高危破绽，可获取内网拜访权限谷歌VirusTotal开源组件曝高危破绽，可获取内网拜访权限

钻研人员指出，如破绽遭利用，可导致攻击者不仅拜访受谷歌管制的环境，还能够高权限拜访50多个外部主机。

谷歌VirusTotal开源组件曝高危破绽，可获取内网拜访权限谷歌VirusTotal开源组件曝高危破绽，可获取内网拜访权限

钻研人员指出，“回味无穷的是，每当咱们上传蕴含新payload 的哈希的文件时，VirusTotal 就会将payload 转给其它主机。因而，咱们不仅取得RCE，它还被谷歌服务器转发给谷歌内网、客户以及合作伙伴。”

钻研人员指出，已在2021年4月13日通过谷歌的破绽处分打算报告该破绽，随后破绽修复。

这并非ExifTool 缺点首次成为达成RCE的直达。去年，GitLab 修复一个重大破绽CVE-2021-22205（CVSS：10分），因对用户提供图片验证不当而导致任意代码执行。