CVE-2026-33644Lychee是一款免费的开源照片管理工具。在7.5.2版本之前,其PhotoUrlRule.php文件中的SSRF防护机制存在安全缺陷。攻击者可以通过DNS重绑定攻击绕过该防护机制。具体而言,当使用域名而非IP地址时,代码中的IP验证检查会被跳过,导致系统未能正确限制请求的目标地址。该漏洞可能被利用来探测内网服务或访问受限资源。官方已在7.5.2版本中修复了此问题,建议受影响用户尽快升级。
该漏洞的根本原因在于Lychee的PhotoUrlRule.php文件中对于SSRF的防御逻辑不完整。代码中的IP验证检查逻辑(第86-89行)被包裹在一个条件判断中,该条件判断依赖于filter_var($host, FILTER_VALIDATE_IP)的返回值。只有当输入的$host变量本身是IP地址时,该函数才返回真值,从而触发后续的IP黑名单或白名单校验。当攻击者提供一个域名作为目标地址时,filter_var函数返回假值,导致整个IP验证检查块被跳过。攻击者利用DNS重绑定技术进行攻击:首先,攻击者注册一个域名并将其解析到一个合法的公网IP地址;随后,在服务器发起请求的短时间内(TTL时间内),攻击者更改DNS记录,将该域名重新解析到内网IP地址(如127.0.0.1或169.254.169.254)。由于代码验证逻辑的缺陷,服务器会直接向该内网地址发起请求,从而实现对内网服务的SSRF攻击,可能导致敏感信息泄露。