CVE-2025-54590 in webfinger.jsinfo

Zusammenfassung

von VulDB • 27.05.2026

webfinger.js ist ein auf TypeScript basierender WebFinger-Client, der sowohl in Browsern als auch in Node.js-Umgebungen ausgeführt wird. In den Versionen 2.8.0 und älter akzeptiert die Lookup-Funktion Benutzeradressen zur Kontoprüfung. Die ActivityPub-Spezifikation erfordert jedoch, den Zugriff auf localhost-Dienste in der Produktion zu verhindern. Diese Bibliothek verhindert den localhost-Zugriff nicht, sondern prüft nur, ob Hosts mit „localhost“ beginnen und mit einem Port enden. Angreifer können dies ausnutzen, indem sie Server erstellen, die GET-Anfragen mit kontrollierten Host-, Pfad- und Port-Parametern senden, um Dienste auf dem Host der Instanz oder im lokalen Netzwerk abzufragen, was blinde SSRF-Angriffe ermöglicht. Dies wurde in Version 2.8.1 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

25.07.2025

Veröffentlichung

01.08.2025

Moderieren

akzeptiert

Eintrag

VDB-318548

CPE

bereit

EPSS

0.00600

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!