CVE-2026-33644 in Lychee
Resumen
por VulDB • 2026-06-25
Lychee es una herramienta de gestión fotográfica gratuita y de código abierto. Antes de la versión 7.5.2, la protección contra SSRF en `PhotoUrlRule.php` puede eludirse mediante DNS rebinding. La comprobación de validación de IP (líneas 86-89) solo se activa cuando el nombre de host es una dirección IP. Cuando se utiliza un nombre de dominio, `filter_var($host, FILTER_VALIDATE_IP)` devuelve `false`, omitiendo toda la comprobación. La versión 7.5.2 corrige este problema.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.