CVE-2025-54590 in webfinger.js
Сводка
по VulDB • 27.05.2026
webfinger.js — это клиент WebFinger, написанный на TypeScript, который работает как в браузерах, так и в средах Node.js. В версиях 2.8.0 и более ранних функция поиска принимает адреса пользователей для проверки учетных записей. Однако спецификация ActivityPub требует предотвращения доступа к службам localhost в производственной среде. Данная библиотека не предотвращает доступ к localhost, а лишь проверяет, начинаются ли имена хостов со слова «localhost» и заканчиваются указанием порта. Злоумышленники могут эксплуатировать эту уязвимость, создавая серверы, которые отправляют GET-запросы с контролируемыми параметрами host, path и port для опроса служб на хосте экземпляра или в локальной сети, что позволяет осуществлять слепые атаки SSRF. Проблема исправлена в версии 2.8.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.