HIGHCVE-2025-50202CVSS 7.5

Lychee 路径遍历漏洞

Q: 什么是 CVE-2025-50202 — 路径遍历漏洞在 Lychee 照片管理工具中？

CVE-2025-50202 是 Lychee 6.6.6 及更高版本（小于 6.6.10）中的路径遍历漏洞，允许攻击者泄露敏感文件。

Q: 我是否受到 CVE-2025-50202 在 Lychee 照片管理工具中的影响？

如果您正在使用 Lychee 6.6.6 到 6.6.9 之间的版本，则您可能受到影响。请立即升级。

Q: 我如何修复 CVE-2025-50202 在 Lychee 照片管理工具中的漏洞？

升级到 Lychee 6.6.10 或更高版本是修复此漏洞的最佳方法。

Q: CVE-2025-50202 是否正在被积极利用？

目前尚无公开的利用程序，但由于漏洞的严重性，存在被利用的风险。

Q: 在哪里可以找到 Lychee 官方关于 CVE-2025-50202 的公告？

请访问 Lychee 的官方网站或安全公告页面，查找有关 CVE-2025-50202 的信息。

平台

php

组件

lychee

修复版本

6.6.7

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-50202 是 Lychee 照片管理工具中的路径遍历漏洞。该漏洞允许攻击者通过利用 SecurePathController.php 中的缺陷，泄露敏感信息，例如环境变量、Nginx 日志、用户上传的图片以及配置密钥。受影响的版本包括 6.6.6 及更高版本，但不包括 6.6.10。该漏洞已在 6.6.10 版本中修复。

影响与攻击场景

该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞访问服务器上的敏感文件，从而获取关键信息。例如，攻击者可以获取 Nginx 的访问日志，从中推断出用户行为模式和潜在的攻击目标。泄露的配置密钥可能允许攻击者进一步控制服务器，甚至可能导致远程代码执行。此外，攻击者还可以访问其他用户上传的图片，侵犯用户隐私。由于 Lychee 经常用于存储个人照片和视频，因此该漏洞可能导致大量用户数据泄露。

利用背景

目前尚无公开的漏洞利用程序（PoC），但该漏洞的严重性较高，且影响范围较广，因此存在被利用的风险。该漏洞已于 2025 年 6 月 18 日公开披露。CISA 尚未将其添加到 KEV 目录中。建议密切关注安全社区的动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

Self-hosted Lychee installations are particularly at risk, especially those running older, unpatched versions. Shared hosting environments where multiple users share the same Lychee instance are also vulnerable, as a compromise of one user's account could potentially lead to the exposure of data belonging to other users. Administrators who have not implemented robust file access controls are also at increased risk.

检测步骤翻译中…

• linux / server: Monitor Lychee logs (typically located in /var/log/lychee/) for unusual file access patterns or attempts to access files outside of the intended directories. Use journalctl -u lychee to review Lychee-related system logs. • generic web: Use curl to probe for potentially accessible files using path traversal sequences (e.g., curl 'http://your-lychee-instance/../../../../etc/passwd'). • generic web: Examine access logs for requests containing ../ sequences, which are indicative of path traversal attempts.

攻击时间线

2025-06-18Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.12% (31% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件lychee

供应商LycheeOrg

影响范围修复版本

>= 6.6.6, < 6.6.10 – >= 6.6.6, < 6.6.106.6.7

弱点分类 (CWE)

CWE-22

时间线

已保留2025-06-13
发布日期2025-06-18
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即升级 Lychee 至 6.6.10 或更高版本。如果升级会导致系统中断，可以考虑回滚到之前的稳定版本，但请注意这只是临时解决方案。此外，可以配置 Web 应用防火墙 (WAF) 或反向代理服务器，以阻止对 SecurePathController.php 的恶意请求。例如，可以设置规则来过滤包含 ../ 或其他路径遍历字符的请求。检查 Lychee 的配置文件，确保文件权限设置正确，限制对敏感文件的访问。

修复方法翻译中…

Actualice Lychee a la versión 6.6.10 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración de Lychee o descargando la última versión del software y reemplazando los archivos existentes.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-50202 — 路径遍历漏洞在 Lychee 照片管理工具中？