CVE-2025-54590 in webfinger.jsinformação

Sumário

de VulDB • 25/05/2026

webfinger.js é um cliente WebFinger baseado em TypeScript que executa tanto em ambientes de navegador quanto no Node.js. Nas versões 2.8.0 e anteriores, a função de lookup aceita endereços de usuário para verificação de contas. No entanto, a especificação ActivityPub exige a prevenção do acesso a serviços localhost em produção. Esta biblioteca não impede o acesso ao localhost, verificando apenas hosts que começam com "localhost" e terminam com uma porta. Os usuários podem explorar essa falha criando servidores que enviam requisições GET com parâmetros de host, caminho e porta controlados para consultar serviços no host da instância ou na rede local, permitindo ataques SSRF cegos (blind SSRF). Isso foi corrigido na versão 2.8.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub M

Reservar

25/07/2025

Divulgação

01/08/2025

Moderação

aceite

Entrada

VDB-318548

CPE

pronto

EPSS

0.00600

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!