CVE-2025-54590 in webfinger.js情報

要約

〜によって VulDB • 2026年05月25日

webfinger.js は、ブラウザおよび Node.js 環境の両方で動作する TypeScript ベースの WebFinger クライアントです。バージョン 2.8.0 以前では、lookup 関数がアカウント確認のためにユーザー指定のアドレスを受け入れます。しかし、ActivityPub 仕様では、本番環境における localhost サービスへのアクセスを防止することが求められています。このライブラリは localhost へのアクセスを防止しておらず、「localhost」で始まりポート番号で終わるホストのみをチェックしています。攻撃者は、インスタンスのホストまたはローカルネットワーク上のサービスに対してクエリを実行するために、制御された host、path、port パラメータを含む GET リクエストを送信するサーバーを作成することで、この脆弱性を悪用し、盲検 SSRF(Server-Side Request Forgery)攻撃を可能にします。この問題はバージョン 2.8.1 で修正されています。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2025年07月25日

モデレーション

承諾済み

エントリ

VDB-318548

EPSS

0.00600

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!