Lychee — это бесплатный инструмент для управления фотографиями с открытым исходным кодом. До версии 7.5.3 поле описания фотографии хранилось без очистки HTML и отображалось с использованием `{!! $item->summary !!}` (неэкранированный вывод Blade) в шаблонах каналов RSS, Atom и JSON. Конечная точка `/feed` общедоступна без аутентификации, что позволяет любому читателю RSS выполнять JavaScript, контролируемый злоумышленником.
Версия 7.5.3 устраняет проблему.
Показать оригинальное описание (EN)
Lychee is a free, open-source photo-management tool. Prior to version 7.5.3, the photo `description` field is stored without HTML sanitization and rendered using `{!! $item->summary !!}` (Blade unescaped output) in the RSS, Atom, and JSON feed templates. The `/feed` endpoint is publicly accessible without authentication, allowing any RSS reader to execute attacker-controlled JavaScript. Version 7.5.3 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Lycheeorg Lychee
cpe:2.3:a:lycheeorg:lychee:*:*:*:*:*:*:*:*
|
— |
7.5.3
|