CVE-2025-54590 in webfinger.js
Résumé
par VulDB • 25/05/2026
webfinger.js est un client WebFinger basé sur TypeScript qui s'exécute dans les environnements de navigateur et Node.js. Dans les versions 2.8.0 et inférieures, la fonction de recherche accepte les adresses utilisateur pour la vérification de compte. Cependant, la spécification ActivityPub exige d'empêcher l'accès aux services localhost en production. Cette bibliothèque n'empêche pas l'accès à localhost, elle se contente de vérifier les hôtes qui commencent par « localhost » et se terminent par un port. Les utilisateurs peuvent exploiter cette faille en créant des serveurs qui envoient des requêtes GET avec des paramètres d'hôte, de chemin et de port contrôlés afin d'interroger les services sur l'hôte de l'instance ou sur le réseau local, permettant ainsi des attaques SSRF aveugles. Ce problème est corrigé dans la version 2.8.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.