CVE-2025-50202は、写真管理ツールLycheeにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はローカルファイルを漏洩させることが可能です。影響を受けるバージョンは6.6.6から6.6.9までの間です。バージョン6.6.10に修正されており、アップデートを推奨します。
この脆弱性は、攻撃者がLycheeのサーバー上で実行されているプロセスがアクセスできるローカルファイルを読み取れることを意味します。これには、機密性の高い情報が含まれている可能性があります。例えば、環境変数にはAPIキーやデータベースのパスワードが含まれていることがあり、nginxログにはリクエスト情報やエラーメッセージが含まれています。また、ユーザーがアップロードした画像やLycheeの設定ファイルも漏洩する可能性があります。攻撃者は、これらの情報を利用して、さらなる攻撃を仕掛けたり、機密情報を盗み出したりする可能性があります。この脆弱性は、類似のファイルアクセス脆弱性と同様に、機密情報の漏洩につながる重大なリスクをもたらします。
このCVEは2025年6月18日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。
Self-hosted Lychee installations are particularly at risk, especially those running older, unpatched versions. Shared hosting environments where multiple users share the same Lychee instance are also vulnerable, as a compromise of one user's account could potentially lead to the exposure of data belonging to other users. Administrators who have not implemented robust file access controls are also at increased risk.
• linux / server: Monitor Lychee logs (typically located in /var/log/lychee/) for unusual file access patterns or attempts to access files outside of the intended directories. Use journalctl -u lychee to review Lychee-related system logs.
• generic web: Use curl to probe for potentially accessible files using path traversal sequences (e.g., curl 'http://your-lychee-instance/../../../../etc/passwd').
• generic web: Examine access logs for requests containing ../ sequences, which are indicative of path traversal attempts.
disclosure
エクスプロイト状況
EPSS
0.12% (31% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Lycheeをバージョン6.6.10にアップデートすることです。もしアップデートがすぐにできない場合は、Webアプリケーションファイアウォール(WAF)やリバースプロキシを設定して、パス・トラバーサル攻撃をブロックすることを検討してください。また、Lycheeの設定ファイルやアップロードディレクトリのアクセス権を適切に制限することも重要です。脆弱性スキャンツールを使用して、定期的にシステムをスキャンし、潜在的な脆弱性を特定することも推奨されます。アップデート後、Lycheeのバージョンを確認し、脆弱性が修正されていることを確認してください。
Actualice Lychee a la versión 6.6.10 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración de Lychee o descargando la última versión del software y reemplazando los archivos existentes.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-50202は、Lychee 6.6.6から6.6.9までのバージョンにおいて、SecurePathController.phpに存在するパス・トラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、ローカルファイルを漏洩させることが可能です。
はい、Lychee Photo Managementのバージョンが6.6.6から6.6.9の間である場合、この脆弱性の影響を受けます。バージョン6.6.10にアップデートすることで、この脆弱性を修正できます。
Lychee Photo Managementをバージョン6.6.10にアップデートしてください。アップデート方法については、Lycheeの公式ドキュメントを参照してください。
現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。
Lycheeの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2025-50202に関する情報を確認してください。