Plataforma
php
Componente
lychee
Corrigido em
6.6.7
O Lychee, uma ferramenta gratuita de gerenciamento de fotos, apresenta uma vulnerabilidade de Path Traversal nas versões a partir da 6.6.6 até a 6.6.9. Um atacante pode explorar essa falha para acessar arquivos locais sensíveis, como arquivos de log do Nginx, imagens enviadas por outros usuários e segredos de configuração. A vulnerabilidade foi corrigida na versão 6.6.10 e a atualização é altamente recomendada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado a uma vasta gama de arquivos no servidor onde o Lychee está instalado. Isso inclui informações confidenciais como credenciais de banco de dados, chaves de API e outros segredos de configuração. Além disso, o atacante pode acessar imagens e outros arquivos enviados por outros usuários, comprometendo a privacidade e a confidencialidade dos dados. O impacto potencial é significativo, pois a exposição de informações sensíveis pode levar a roubo de dados, comprometimento de contas e até mesmo acesso ao sistema subjacente.
Esta vulnerabilidade foi divulgada em 2025-06-18. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade (path traversal) a torna um alvo potencial para ataques automatizados. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A pontuação CVSS de 7.5 (HIGH) indica um risco significativo.
Self-hosted Lychee installations are particularly at risk, especially those running older, unpatched versions. Shared hosting environments where multiple users share the same Lychee instance are also vulnerable, as a compromise of one user's account could potentially lead to the exposure of data belonging to other users. Administrators who have not implemented robust file access controls are also at increased risk.
• linux / server: Monitor Lychee logs (typically located in /var/log/lychee/) for unusual file access patterns or attempts to access files outside of the intended directories. Use journalctl -u lychee to review Lychee-related system logs.
• generic web: Use curl to probe for potentially accessible files using path traversal sequences (e.g., curl 'http://your-lychee-instance/../../../../etc/passwd').
• generic web: Examine access logs for requests containing ../ sequences, which are indicative of path traversal attempts.
disclosure
Status do Exploit
EPSS
0.12% (percentil 31%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 6.6.10 do Lychee. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de segurança adicionais. Restringir o acesso ao diretório do Lychee através de um firewall ou proxy reverso pode ajudar a limitar o impacto potencial da exploração. Monitore os logs do servidor em busca de tentativas de acesso não autorizado e configure alertas para atividades suspeitas. Após a atualização, confirme a correção verificando se os arquivos sensíveis não são mais acessíveis através de solicitações de path traversal.
Actualice Lychee a la versión 6.6.10 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración de Lychee o descargando la última versión del software y reemplazando los archivos existentes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-50202 is a Path Traversal vulnerability affecting Lychee photo-management tool versions 6.6.6 through 6.6.9, allowing attackers to potentially leak sensitive files.
You are affected if you are running Lychee version 6.6.6 or later, but before version 6.6.10. Check your Lychee version and upgrade immediately if vulnerable.
Upgrade Lychee to version 6.6.10 or later to patch the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like restricting file access permissions.
While no public exploits are currently known, the ease of exploitation suggests a potential for rapid exploitation. Monitor your systems closely.
Refer to the official Lychee security advisory on their website or GitHub repository for the latest information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.