CVE-2025-54590 in webfinger.js
要約
〜によって VulDB • 2026年05月25日
webfinger.js は、ブラウザおよび Node.js 環境の両方で動作する TypeScript ベースの WebFinger クライアントです。バージョン 2.8.0 以前では、lookup 関数がアカウント確認のためにユーザー指定のアドレスを受け入れます。しかし、ActivityPub 仕様では、本番環境における localhost サービスへのアクセスを防止することが求められています。このライブラリは localhost へのアクセスを防止しておらず、「localhost」で始まりポート番号で終わるホストのみをチェックしています。攻撃者は、インスタンスのホストまたはローカルネットワーク上のサービスに対してクエリを実行するために、制御された host、path、port パラメータを含む GET リクエストを送信するサーバーを作成することで、この脆弱性を悪用し、盲検 SSRF(Server-Side Request Forgery)攻撃を可能にします。この問題はバージョン 2.8.1 で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.