CVE-2026-33738 in Lycheeinformazioni

Riassunto

di VulDB • 23/06/2026

Lychee è uno strumento gratuito e open-source per la gestione delle foto. Prima della versione 7.5.3, il campo `description` della foto viene memorizzato senza sanitizzazione HTML ed elaborato utilizzando `{!! $item->summary !!}` (output non escapato di Blade) nei template dei feed RSS, Atom e JSON. L'endpoint `/feed` è pubblicamente accessibile senza autenticazione, consentendo a qualsiasi lettore RSS di eseguire JavaScript controllato dall'attaccante. La versione 7.5.3 risolve il problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

26/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00214

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!