CVE-2025-54590 in webfinger.jsinformación

Resumen

por MITRE • 2025-08-01

webfinger.js es un cliente WebFinger basado en TypeScript que funciona tanto en navegadores como en entornos Node.js. En las versiones 2.8.0 y anteriores, la función de búsqueda acepta direcciones de usuario para la comprobación de cuentas. Sin embargo, la especificación ActivityPub exige impedir el acceso a los servicios del host local en producción. Esta biblioteca no impide el acceso al host local, sino que solo comprueba los hosts que empiezan por "localhost" y terminan con un puerto. Los usuarios pueden aprovechar esto creando servidores que envíen solicitudes GET con parámetros de host, ruta y puerto controlados para consultar servicios en el host o la red local de la instancia, lo que permite ataques SSRF ciegos. Esto se ha corregido en la versión 2.8.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2025-07-25

Divulgación

2025-08-01

Moderación

aceptado

Artículo

VDB-318548

CPE

listo

EPSS

0.00600

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!