漏洞描述
Lychee 是一款免费的照片管理工具。在版本 6.6.6 至 6.6.10 之前的版本中,SecurePathController.php 存在路径遍历漏洞,攻击者可以通过该漏洞泄露本地文件,包括环境变量、nginx 日志、其他用户上传的图像以及配置机密。此问题已在版本 6.6.10 中修复。
LycheeOrg-Lychee /image 目录遍历漏洞(CVE-2025-50202)
PoC代码
暂无相关漏洞推荐
- Tautulli /image/images 目录遍历漏洞(CVE-2025-58760)
- POC Smartbi /imageimport.jsp 存在任意文件上传
- POC lychee-installer: Lychee Installer
- Next.Js /_next/image 服务器端请求伪造漏洞(CVE-2024-34351)
- frdel Agent-Zero /image_get 目录遍历漏洞(CVE-2025-6166)
- Lychee存在路径遍历漏洞
- SonicWall SMA1000 /images 目录遍历漏洞 (CVE-2023-0126)
- MojoPortal /api/BetterImageGallery/imagehandler 文件读取漏洞(CVE-2025-28367)
- 卓软计量业务管理平台 /HuameiMeasure/image.ashx 文件读取漏洞
- 黔狐CMS /images/index.html 代码执行漏洞(CVE-2025-29306)
- 方正畅享全媒体采编系统 /newsedit/newsedit/xy/imageProxy.do 文件读取漏洞
- 明腾CMS /mingteng/ueditor/imageup/savePath/public/upload/temp/pictitle/banner/dir/images.html 文件上传漏洞
- LoveCardsV2 /api/upload/image 文件上传漏洞(CVE-2025-2219)