Plateforme
php
Composant
lychee
Corrigé dans
6.6.7
La vulnérabilité CVE-2025-50202 est une faille de traversal de chemin (Path Traversal) affectant Lychee, un outil de gestion de photos gratuit. Cette faille permet à un attaquant de divulguer des fichiers locaux sensibles, tels que les variables d'environnement, les logs de Nginx, les images téléchargées par d'autres utilisateurs et les secrets de configuration. Elle touche les versions de Lychee comprises entre 6.6.6 et 6.6.9 (excluant 6.6.10), et une correction a été déployée dans la version 6.6.10.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers arbitraires sur le serveur hébergeant Lychee. Cela peut inclure des informations d'identification sensibles stockées dans des fichiers de configuration, des données personnelles des utilisateurs stockées dans les images téléchargées, et des informations de débogage précieuses pour d'autres attaques. La divulgation de ces informations pourrait entraîner une compromission complète du serveur et des données qu'il contient. Un attaquant pourrait également utiliser cette vulnérabilité pour exécuter du code arbitraire sur le serveur si les fichiers accessibles contiennent des scripts exécutables.
Cette vulnérabilité a été rendue publique le 2025-06-18. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement en raison de la simplicité de la faille de traversal de chemin.
Self-hosted Lychee installations are particularly at risk, especially those running older, unpatched versions. Shared hosting environments where multiple users share the same Lychee instance are also vulnerable, as a compromise of one user's account could potentially lead to the exposure of data belonging to other users. Administrators who have not implemented robust file access controls are also at increased risk.
• linux / server: Monitor Lychee logs (typically located in /var/log/lychee/) for unusual file access patterns or attempts to access files outside of the intended directories. Use journalctl -u lychee to review Lychee-related system logs.
• generic web: Use curl to probe for potentially accessible files using path traversal sequences (e.g., curl 'http://your-lychee-instance/../../../../etc/passwd').
• generic web: Examine access logs for requests containing ../ sequences, which are indicative of path traversal attempts.
disclosure
Statut de l'Exploit
EPSS
0.12% (percentile 31%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Lychee vers la version 6.6.10 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de restreindre l'accès au dossier contenant Lychee via un pare-feu ou un système de contrôle d'accès. Une configuration incorrecte du serveur web pourrait également aggraver la vulnérabilité; assurez-vous que les directives de configuration du serveur web (par exemple, Apache ou Nginx) interdisent l'accès direct aux fichiers sensibles. Après la mise à jour, vérifiez que les fichiers sensibles ne sont plus accessibles via le navigateur en essayant d'accéder à des chemins de fichiers potentiels.
Actualice Lychee a la versión 6.6.10 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración de Lychee o descargando la última versión del software y reemplazando los archivos existentes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-50202 is a Path Traversal vulnerability affecting Lychee photo-management tool versions 6.6.6 through 6.6.9, allowing attackers to potentially leak sensitive files.
You are affected if you are running Lychee version 6.6.6 or later, but before version 6.6.10. Check your Lychee version and upgrade immediately if vulnerable.
Upgrade Lychee to version 6.6.10 or later to patch the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like restricting file access permissions.
While no public exploits are currently known, the ease of exploitation suggests a potential for rapid exploitation. Monitor your systems closely.
Refer to the official Lychee security advisory on their website or GitHub repository for the latest information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.