Lychee >= 6.6.6, < 6.6.10 组件存在路径遍历漏洞，由于未对用户输入进行充分过滤，攻击者可通过构造特殊路径读取服务器上的任意文件，包括环境变量、Nginx日志和配置文件等敏感信息。该漏洞利用门槛低且危害严重，可导致服务器核心配置和用户隐私数据泄露。建议所有使用受影响版本的用户立即升级至6.6.10修复版本。

立即升级至6.6.10版本，该版本通过添加路径校验逻辑（检查文件路径是否以合法存储路径开头）修复了此漏洞。