Plataforma
php
Componente
lychee
Corregido en
6.6.7
La vulnerabilidad CVE-2025-50202 es un fallo de Path Traversal descubierto en Lychee, una herramienta gratuita de gestión de fotos. Esta vulnerabilidad permite a un atacante acceder a archivos locales sensibles, como variables de entorno, logs de Nginx, imágenes subidas por otros usuarios y secretos de configuración. Afecta a las versiones de Lychee desde la 6.6.6 hasta la 6.6.9 (exclusiva), siendo solucionada en la versión 6.6.10.
Un atacante que explote esta vulnerabilidad puede obtener acceso no autorizado a una amplia gama de información confidencial almacenada en el servidor donde se ejecuta Lychee. Esto incluye credenciales de bases de datos, claves API, contraseñas y otros datos sensibles que podrían ser utilizados para comprometer aún más el sistema o para robar información personal de los usuarios. La capacidad de acceder a logs de Nginx también podría proporcionar información valiosa sobre la infraestructura del servidor y las actividades de los usuarios, facilitando ataques posteriores. La exposición de imágenes subidas por otros usuarios plantea preocupaciones de privacidad significativas, especialmente si estas imágenes contienen información personal o sensible.
La vulnerabilidad CVE-2025-50202 fue publicada el 18 de junio de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace relativamente fácil de explotar. La disponibilidad de un PoC público podría aumentar el riesgo de explotación. Se recomienda monitorear los sistemas Lychee para detectar signos de actividad maliciosa.
Self-hosted Lychee installations are particularly at risk, especially those running older, unpatched versions. Shared hosting environments where multiple users share the same Lychee instance are also vulnerable, as a compromise of one user's account could potentially lead to the exposure of data belonging to other users. Administrators who have not implemented robust file access controls are also at increased risk.
• linux / server: Monitor Lychee logs (typically located in /var/log/lychee/) for unusual file access patterns or attempts to access files outside of the intended directories. Use journalctl -u lychee to review Lychee-related system logs.
• generic web: Use curl to probe for potentially accessible files using path traversal sequences (e.g., curl 'http://your-lychee-instance/../../../../etc/passwd').
• generic web: Examine access logs for requests containing ../ sequences, which are indicative of path traversal attempts.
disclosure
Estado del Exploit
EPSS
0.12% (31% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-50202 es actualizar Lychee a la versión 6.6.10 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización a la versión más reciente no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio de Lychee a través de reglas de firewall o WAF. Además, se debe revisar y endurecer la configuración del servidor para minimizar el impacto potencial de la vulnerabilidad. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el SecurePathController.php ya no es susceptible a ataques de Path Traversal.
Actualice Lychee a la versión 6.6.10 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración de Lychee o descargando la última versión del software y reemplazando los archivos existentes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-50202 is a Path Traversal vulnerability affecting Lychee photo-management tool versions 6.6.6 through 6.6.9, allowing attackers to potentially leak sensitive files.
You are affected if you are running Lychee version 6.6.6 or later, but before version 6.6.10. Check your Lychee version and upgrade immediately if vulnerable.
Upgrade Lychee to version 6.6.10 or later to patch the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like restricting file access permissions.
While no public exploits are currently known, the ease of exploitation suggests a potential for rapid exploitation. Monitor your systems closely.
Refer to the official Lychee security advisory on their website or GitHub repository for the latest information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.