CVE-2026-33644 in Lycheeinformation

Résumé

par VulDB • 29/06/2026

Lychee est un outil de gestion de photos gratuit et open-source. Avant la version 7.5.2, la protection SSRF dans `PhotoUrlRule.php` peut être contournée à l'aide d'une attaque par rebond DNS (DNS rebinding). La vérification de validation des adresses IP (lignes 86-89) n'est activée que lorsque le nom d'hôte est une adresse IP. Lorsqu'un nom de domaine est utilisé, `filter_var($host, FILTER_VALIDATE_IP)` renvoie `false`, ce qui permet de sauter entièrement la vérification. La version 7.5.2 corrige cette vulnérabilité.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

26/03/2026

Modérer

accepté

Entrée

VDB-353753

CPE

prêt

EPSS

0.00217

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!