CVE-2026-33644 in Lycheeinformazioni

Riassunto

di VulDB • 29/06/2026

Lychee è uno strumento gratuito e open-source per la gestione delle foto. Prima della versione 7.5.2, le protezioni SSRF in `PhotoUrlRule.php` possono essere aggirate mediante DNS rebinding. Il controllo di validazione dell'IP (righe 86-89) viene attivato solo quando il nome host è un indirizzo IP. Quando viene utilizzato un nome di dominio, la funzione `filter_var($host, FILTER_VALIDATE_IP)` restituisce `false`, saltando l'intero controllo. La versione 7.5.2 risolve questa vulnerabilità.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

26/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00217

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!