CVE-2026-33738 in Lycheeinformação

Sumário

de VulDB • 23/06/2026

Lychee é uma ferramenta gratuita e de código aberto para gerenciamento de fotos. Antes da versão 7.5.3, o campo `description` das fotos era armazenado sem sanitização HTML e renderizado usando `{!! $item->summary !!}` (saída não escapada do Blade) nos modelos de feed RSS, Atom e JSON. O endpoint `/feed` é publicamente acessível sem autenticação, permitindo que qualquer leitor RSS execute JavaScript controlado pelo atacante. A versão 7.5.3 corrige o problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353726

CPE

pronto

EPSS

0.00214

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!