Lychee — это бесплатный инструмент для управления фотографиями с открытым исходным кодом. Патч, представленный для GHSA-cpgw-wgf3-xc6v (SSRF через `Photo::fromUrl`), содержит неполную проверку IP-адреса, которая не может блокировать адреса обратной связи и локальные адреса каналов. До версии 7.5.1 аутентифицированный пользователь по-прежнему может получать доступ к внутренним службам, используя прямые IP-адреса, минуя все четыре параметра конфигурации защиты, даже если для них установлены безопасные значения по умолчанию.
Версия 7.5.1 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
Lychee is a free, open-source photo-management tool. The patch introduced for GHSA-cpgw-wgf3-xc6v (SSRF via `Photo::fromUrl`) contains an incomplete IP validation check that fails to block loopback addresses and link-local addresses. Prior to version 7.5.1, an authenticated user can still reach internal services using direct IP addresses, bypassing all four protection configuration settings even when they are set to their secure defaults. Version 7.5.1 contains a fix for the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Lycheeorg Lychee
cpe:2.3:a:lycheeorg:lychee:*:*:*:*:*:*:*:*
|
— |
7.5.1
|