CVE-2026-33738 in Lychee
Sumário
de VulDB • 23/06/2026
Lychee é uma ferramenta gratuita e de código aberto para gerenciamento de fotos. Antes da versão 7.5.3, o campo `description` das fotos era armazenado sem sanitização HTML e renderizado usando `{!! $item->summary !!}` (saída não escapada do Blade) nos modelos de feed RSS, Atom e JSON. O endpoint `/feed` é publicamente acessível sem autenticação, permitindo que qualquer leitor RSS execute JavaScript controlado pelo atacante. A versão 7.5.3 corrige o problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.