CVE-2025-54590 in webfinger.jsinformation

Résumé

par VulDB • 25/05/2026

webfinger.js est un client WebFinger basé sur TypeScript qui s'exécute dans les environnements de navigateur et Node.js. Dans les versions 2.8.0 et inférieures, la fonction de recherche accepte les adresses utilisateur pour la vérification de compte. Cependant, la spécification ActivityPub exige d'empêcher l'accès aux services localhost en production. Cette bibliothèque n'empêche pas l'accès à localhost, elle se contente de vérifier les hôtes qui commencent par « localhost » et se terminent par un port. Les utilisateurs peuvent exploiter cette faille en créant des serveurs qui envoient des requêtes GET avec des paramètres d'hôte, de chemin et de port contrôlés afin d'interroger les services sur l'hôte de l'instance ou sur le réseau local, permettant ainsi des attaques SSRF aveugles. Ce problème est corrigé dans la version 2.8.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

25/07/2025

Divulgation

01/08/2025

Modérer

accepté

Entrée

VDB-318548

CPE

prêt

EPSS

0.00600

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!