CVE-2025-54590 in webfinger.jsthông tin

Tóm tắt

Bởi VulDB • 27/05/2026

webfinger.js là một client WebFinger dựa trên TypeScript, hoạt động trong cả môi trình duyệt và Node.js. Trong các phiên bản 2.8.0 trở về trước, hàm lookup chấp nhận các địa chỉ người dùng để kiểm tra tài khoản. Tuy nhiên, đặc tả ActivityPub yêu cầu ngăn chặn việc truy cập vào các dịch vụ localhost trong môi trường sản xuất. Thư viện này không ngăn chặn việc truy cập localhost, mà chỉ kiểm tra các máy chủ bắt đầu bằng "localhost" và kết thúc bằng một cổng. Người dùng có thể khai thác lỗ hổng này bằng cách tạo các máy chủ gửi các yêu cầu GET với các tham số host, đường dẫn và cổng được kiểm soát để truy vấn các dịch vụ trên máy chủ của phiên bản hoặc mạng cục bộ, cho phép thực hiện các cuộc tấn công SSRF mù (blind SSRF). Lỗ hổng này đã được sửa trong phiên bản 2.8.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

GitHub M

Đặt trước

25/07/2025

Tiết lộ

01/08/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00600

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!