CVE-2025-54590 in webfinger.js
Zusammenfassung
von VulDB • 27.05.2026
webfinger.js ist ein auf TypeScript basierender WebFinger-Client, der sowohl in Browsern als auch in Node.js-Umgebungen ausgeführt wird. In den Versionen 2.8.0 und älter akzeptiert die Lookup-Funktion Benutzeradressen zur Kontoprüfung. Die ActivityPub-Spezifikation erfordert jedoch, den Zugriff auf localhost-Dienste in der Produktion zu verhindern. Diese Bibliothek verhindert den localhost-Zugriff nicht, sondern prüft nur, ob Hosts mit „localhost“ beginnen und mit einem Port enden. Angreifer können dies ausnutzen, indem sie Server erstellen, die GET-Anfragen mit kontrollierten Host-, Pfad- und Port-Parametern senden, um Dienste auf dem Host der Instanz oder im lokalen Netzwerk abzufragen, was blinde SSRF-Angriffe ermöglicht. Dies wurde in Version 2.8.1 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.