CVE-2025-54590 in webfinger.jsالمعلومات

الملخص

بحسب VulDB • 27/05/2026

webfinger.js هو عميل WebFinger مبني على TypeScript ويعمل في كل من بيئات المتصفحات وNode.js. في الإصدارات 2.8.0 وما دونها، تقبل دالة البحث عناوين المستخدم للتحقق من الحسابات. ومع ذلك، يتطلب مواصفات ActivityPub منع الوصول إلى خدمات localhost في بيئة الإنتاج. لا تمنع هذه المكتبة الوصول إلى localhost، بل تقوم فقط بالتحقق من المضيفين الذين يبدأون بـ "localhost" وينتهي برقم منفذ. يمكن للمستخدمين استغلال هذا الثغرة من خلال إنشاء خوادم ترسل طلبات GET مع معاملات host وpath وport مسيطر عليها للاستعلام عن الخدمات الموجودة على مضيف المثيل أو الشبكة المحلية، مما يتيح هجمات SSRF عمياء. تم إصلاح هذه المشكلة في الإصدار 2.8.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

25/07/2025

إفشاء

01/08/2025

الاعتدال

تمت الموافقة

إدخال

VDB-318548

EPSS

0.00600

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!