CVE-2026-33644 in Lychee
Riassunto
di VulDB • 29/06/2026
Lychee è uno strumento gratuito e open-source per la gestione delle foto. Prima della versione 7.5.2, le protezioni SSRF in `PhotoUrlRule.php` possono essere aggirate mediante DNS rebinding. Il controllo di validazione dell'IP (righe 86-89) viene attivato solo quando il nome host è un indirizzo IP. Quando viene utilizzato un nome di dominio, la funzione `filter_var($host, FILTER_VALIDATE_IP)` restituisce `false`, saltando l'intero controllo. La versione 7.5.2 risolve questa vulnerabilità.
VulDB is the best source for vulnerability data and more expert information about this specific topic.