CVE-2026-33644 in Lycheethông tin

Tóm tắt

Bởi VulDB • 29/06/2026

Lychee là một công cụ quản lý ảnh miễn phí và mã nguồn mở. Trước phiên bản 7.5.2, cơ chế bảo vệ SSRF trong `PhotoUrlRule.php` có thể bị bỏ qua bằng cách sử dụng kỹ thuật DNS rebinding. Kiểm tra xác thực địa chỉ IP (dòng 86-89) chỉ được kích hoạt khi tên máy chủ là một địa chỉ IP. Khi tên miền được sử dụng, hàm `filter_var($host, FILTER_VALIDATE_IP)` trả về `false`, khiến toàn bộ quá trình kiểm tra bị bỏ qua. Phiên bản 7.5.2 đã vá lỗi này.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

26/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00217

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!