6.6.7
CVE-2025-50202 beschrijft een Path Traversal kwetsbaarheid in Lychee, een gratis foto-beheer tool. Deze kwetsbaarheid stelt aanvallers in staat om lokale bestanden, zoals configuratiebestanden en gebruikersuploads, te onthullen. De kwetsbaarheid treft versies van Lychee vanaf 6.6.6 tot en met 6.6.9. Een patch is beschikbaar in versie 6.6.10.
Deze Path Traversal kwetsbaarheid in Lychee maakt het mogelijk voor een aanvaller om bestanden buiten de toegestane directory te benaderen. Dit kan leiden tot het uitlekken van gevoelige informatie, zoals database credentials, API keys, en andere configuratiebestanden. Daarnaast kunnen aanvallers mogelijk de uploads van andere gebruikers inzien, wat een schending van de privacy kan vormen. De impact is aanzienlijk, omdat de kwetsbaarheid het mogelijk maakt om de integriteit en vertrouwelijkheid van de Lychee installatie te compromitteren. Een succesvolle exploitatie kan leiden tot data-exfiltratie en mogelijk zelfs tot het overnemen van de server.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploits in de wild, maar de lage complexiteit van de exploit maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De publicatie datum is 2025-06-18. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven.
Self-hosted Lychee installations are particularly at risk, especially those running older, unpatched versions. Shared hosting environments where multiple users share the same Lychee instance are also vulnerable, as a compromise of one user's account could potentially lead to the exposure of data belonging to other users. Administrators who have not implemented robust file access controls are also at increased risk.
• linux / server: Monitor Lychee logs (typically located in /var/log/lychee/) for unusual file access patterns or attempts to access files outside of the intended directories. Use journalctl -u lychee to review Lychee-related system logs.
• generic web: Use curl to probe for potentially accessible files using path traversal sequences (e.g., curl 'http://your-lychee-instance/../../../../etc/passwd').
• generic web: Examine access logs for requests containing ../ sequences, which are indicative of path traversal attempts.
disclosure
Exploit Status
EPSS
0.12% (31% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-50202 is het upgraden van Lychee naar versie 6.6.10 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de SecurePathController.php via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met path traversal patronen te blokkeren. Controleer de Lychee configuratie op onnodige permissies en beperk de toegang tot gevoelige bestanden. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot bestanden buiten de toegestane directory via de webinterface.
Actualice Lychee a la versión 6.6.10 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración de Lychee o descargando la última versión del software y reemplazando los archivos existentes.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-50202 is a Path Traversal vulnerability affecting Lychee photo-management tool versions 6.6.6 through 6.6.9, allowing attackers to potentially leak sensitive files.
You are affected if you are running Lychee version 6.6.6 or later, but before version 6.6.10. Check your Lychee version and upgrade immediately if vulnerable.
Upgrade Lychee to version 6.6.10 or later to patch the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like restricting file access permissions.
While no public exploits are currently known, the ease of exploitation suggests a potential for rapid exploitation. Monitor your systems closely.
Refer to the official Lychee security advisory on their website or GitHub repository for the latest information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.