CVE-2025-50202 एक पथ पारगमन भेद्यता है जो Lychee फोटो-प्रबंधन उपकरण को प्रभावित करती है। यह भेद्यता हमलावरों को संवेदनशील जानकारी, जैसे पर्यावरण चर, nginx लॉग, अन्य उपयोगकर्ताओं द्वारा अपलोड की गई छवियों और कॉन्फ़िगरेशन रहस्यों को लीक करने की अनुमति देती है। यह भेद्यता Lychee के संस्करण 6.6.6 से 6.6.10 तक के संस्करणों को प्रभावित करती है, और इसे संस्करण 6.6.10 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को Lychee इंस्टॉलेशन पर मनमाने ढंग से फ़ाइलों तक पहुंचने की अनुमति देती है। हमलावर संवेदनशील डेटा, जैसे डेटाबेस क्रेडेंशियल, एपीआई कुंजियाँ और अन्य गोपनीय जानकारी को लीक कर सकते हैं। वे सर्वर कॉन्फ़िगरेशन फ़ाइलों तक भी पहुंच सकते हैं और सिस्टम को समझौता कर सकते हैं। चूंकि Lychee एक फोटो-प्रबंधन उपकरण है, इसलिए हमलावर अन्य उपयोगकर्ताओं द्वारा अपलोड की गई छवियों तक भी पहुंच सकते हैं, जिससे गोपनीयता का उल्लंघन हो सकता है। इस भेद्यता का शोषण करने के लिए हमलावर को Lychee इंस्टॉलेशन तक पहुंच की आवश्यकता होती है और विशेष रूप से SecurePathController.php में पथ पारगमन भेद्यता का फायदा उठाना होता है।
CVE-2025-50202 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन भेद्यता की गंभीरता और शोषण की सापेक्ष आसानी के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2025-06-18 को प्रकाशित की गई थी। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन भेद्यता का शोषण करने के लिए एक हमलावर आसानी से एक बना सकता है।
Self-hosted Lychee installations are particularly at risk, especially those running older, unpatched versions. Shared hosting environments where multiple users share the same Lychee instance are also vulnerable, as a compromise of one user's account could potentially lead to the exposure of data belonging to other users. Administrators who have not implemented robust file access controls are also at increased risk.
• linux / server: Monitor Lychee logs (typically located in /var/log/lychee/) for unusual file access patterns or attempts to access files outside of the intended directories. Use journalctl -u lychee to review Lychee-related system logs.
• generic web: Use curl to probe for potentially accessible files using path traversal sequences (e.g., curl 'http://your-lychee-instance/../../../../etc/passwd').
• generic web: Examine access logs for requests containing ../ sequences, which are indicative of path traversal attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.12% (31% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-50202 को कम करने के लिए, Lychee को संस्करण 6.6.10 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, SecurePathController.php फ़ाइल में पथ पारगमन भेद्यता को कम करने के लिए फ़ाइल सिस्टम अनुमतियों को सीमित करने पर विचार करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को भी ब्लॉक किया जा सकता है। WAF को पथ पारगमन पैटर्न की तलाश में कॉन्फ़िगर किया जाना चाहिए और अनुरोधों को ब्लॉक करना चाहिए जो इन पैटर्न से मेल खाते हैं।
Actualice Lychee a la versión 6.6.10 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración de Lychee o descargando la última versión del software y reemplazando los archivos existentes.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-50202 Lychee फोटो-प्रबंधन उपकरण में एक पथ पारगमन भेद्यता है जो हमलावरों को संवेदनशील फ़ाइलों तक पहुंचने की अनुमति देती है।
यदि आप Lychee के संस्करण 6.6.6 से 6.6.10 तक चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-50202 को ठीक करने के लिए, Lychee को संस्करण 6.6.10 या बाद के संस्करण में अपडेट करें।
CVE-2025-50202 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसका शोषण किया जा सकता है।
आप CVE-2025-50202 के लिए आधिकारिक Lychee सलाहकार Lychee वेबसाइट पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।