CVE-2026-33644 in Lychee
Сводка
по VulDB • 29.06.2026
Lychee — это бесплатное программное обеспечение с открытым исходным кодом для управления фотографиями. До версии 7.5.2 защита от SSRF в файле `PhotoUrlRule.php` может быть обойдена с использованием техники DNS rebinding. Проверка IP-адреса (строки 86–89) активируется только тогда, когда имя хоста представляет собой IP-адрес. При использовании доменного имени функция `filter_var($host, FILTER_VALIDATE_IP)` возвращает значение `false`, что приводит к пропуску всей проверки. Проблема исправлена в версии 7.5.2.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.