CVE-2026-33738 in Lychee
Riassunto
di VulDB • 23/06/2026
Lychee è uno strumento gratuito e open-source per la gestione delle foto. Prima della versione 7.5.3, il campo `description` della foto viene memorizzato senza sanitizzazione HTML ed elaborato utilizzando `{!! $item->summary !!}` (output non escapato di Blade) nei template dei feed RSS, Atom e JSON. L'endpoint `/feed` è pubblicamente accessibile senza autenticazione, consentendo a qualsiasi lettore RSS di eseguire JavaScript controllato dall'attaccante. La versione 7.5.3 risolve il problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.