CVE-2025-53018

Nome do Software Vulnerável e Versões Afetadas: Versões do Lychee anteriores à 6.6.13

Descrição: Existe uma vulnerabilidade crítica de Falsificação de Solicitação do Lado do Servidor (SSRF) no endpoint "/api/v2/Photo::fromUrl", permitindo que um atacante instrua o backend da aplicação a fazer requisições HTTP para qualquer URL de sua escolha. Isso possibilita o acesso a recursos de rede interna, como serviços em localhost ou endpoints de metadados do provedor de nuvem. O endpoint aceita uma URL do usuário e a chama no lado do servidor via fopen() sem qualquer salvaguarda, incluindo validação de endereço IP, allow-list, timeout ou restrições de tamanho. Atacantes podem usar essa falha para realizar varreduras de portas internas ou recuperar metadados sensíveis da nuvem.

Recomendações: Para versões anteriores à 6.6.13, atualize para a versão 6.6.13 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint "/api/v2/Photo::fromUrl" até que o patch seja aplicado. Evite usar a variável URL no endpoint da API afetado até que o problema seja resolvido.