CVE-2026-33644 in Lycheeinformación

Resumen

por VulDB • 2026-06-25

Lychee es una herramienta de gestión fotográfica gratuita y de código abierto. Antes de la versión 7.5.2, la protección contra SSRF en `PhotoUrlRule.php` puede eludirse mediante DNS rebinding. La comprobación de validación de IP (líneas 86-89) solo se activa cuando el nombre de host es una dirección IP. Cuando se utiliza un nombre de dominio, `filter_var($host, FILTER_VALIDATE_IP)` devuelve `false`, omitiendo toda la comprobación. La versión 7.5.2 corrige este problema.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-03-26

Moderación

aceptado

Artículo

VDB-353753

CPE

listo

EPSS

0.00217

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!