CVE-2026-33644 in Lychee정보

요약

\~에 의해 VulDB • 2026. 06. 29.

Lychee는 무료 오픈소스 사진 관리 도구입니다. 버전 7.5.2 이전에서는 `PhotoUrlRule.php`의 SSRF 보호 기능이 DNS 리바인딩(DNS rebinding)을 통해 우회될 수 있습니다. IP 검증 체크(86-89 라인)는 호스트 이름이 IP 주소일 때만 활성화됩니다. 도메인 이름을 사용할 경우, `filter_var($host, FILTER_VALIDATE_IP)`가 `false`를 반환하여 전체 검증을 건너뜁니다. 버전 7.5.2에서 해당 문제가 패치되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 23.

모더레이션

수락

항목

VDB-353753

EPSS

0.00217

출처

Interested in the pricing of exploits?

See the underground prices here!