Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Lychee (CVE-2025-53018)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
27/06/2025
Última modificación:
30/06/2025

Descripción

Lychee es una herramienta gratuita y de código abierto para la gestión de fotos. Antes de la versión 6.6.13, existía una vulnerabilidad crítica de Server-Side Request Forgery (SSRF) en el endpoint `/api/v2/Photo::fromUrl`. Esta falla permite a un atacante indicar al backend de la aplicación que realice solicitudes HTTP a cualquier URL. En consecuencia, se puede acceder a recursos internos de la red, como servicios de host local o endpoints de metadatos de proveedores de la nube. El endpoint toma una URL del usuario y la llama desde el servidor mediante fopen() sin ninguna protección. No hay validación de dirección IP, ni restricciones de lista de permitidos, tiempo de espera ni tamaño. Gracias a esto, los atacantes pueden apuntar la aplicación a objetivos internos. Con esta falla, un atacante puede realizar escaneos de puertos internos o recuperar metadatos confidenciales de la nube. La versión 6.6.13 incluye un parche para este problema.