PT-2026-28492 · Lychee · Lychee

Assaf

Publicado

2026-03-26

Atualizado

2026-03-26

CVE-2026-33537

CVSS v4.0

5.3

Média

Vetor

AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N

Name of the Vulnerable Software and Affected Versions Lychee versions prior to 7.5.1

Description Lychee is a free, open-source photo-management tool. A flaw exists in the IP validation check within the patch for an SSRF issue related to Photo::fromUrl. This incomplete check fails to block loopback and link-local addresses. Before version 7.5.1, an authenticated user could access internal services using direct IP addresses, bypassing all four protection configurations, even with secure default settings.

Recommendations Update to version 7.5.1 or later.

Exploit

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918

Identificadores relacionados

CVE-2026-33537

GHSA-VQ6W-PRPF-H287

Produtos afetados

Lychee

PT-2026-28492 · Lychee · Lychee

CVE-2026-33537

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 6