CVE-2025-54590

webfinger.js is a TypeScript-based WebFinger client that runs in both browsers and Node.js environments. In versions 2.8.0 and below, the lookup function accepts user addresses for account checking. However, the ActivityPub specification requires preventing access to localhost services in production. This library does not prevent localhost access, only checking for hosts that start with "localhost" and end with a port. Users can exploit this by creating servers that send GET requests with controlled host, path, and port parameters to query services on the instance's host or local network, enabling blind SSRF attacks. This is fixed in version 2.8.1.

CVSS

No CVSS.

References

Link	Resource
https://github.com/silverbucket/webfinger.js/commit/b5f2f2c957297d25f4d76072963fccaee2e3095a
https://github.com/silverbucket/webfinger.js/releases/tag/v2.8.1
https://github.com/silverbucket/webfinger.js/security/advisories/GHSA-8xq3-w9fx-74rv

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary	(es) webfinger.js es un cliente WebFinger basado en TypeScript que funciona tanto en navegadores como en entornos Node.js. En las versiones 2.8.0 y anteriores, la función de búsqueda acepta direcciones de usuario para la comprobación de cuentas. Sin embargo, la especificación ActivityPub exige impedir el acceso a los servicios del host local en producción. Esta biblioteca no impide el acceso al host local, sino que solo comprueba los hosts que empiezan por "localhost" y terminan con un puerto. Los usuarios pueden aprovechar esto creando servidores que envíen solicitudes GET con parámetros de host, ruta y puerto controlados para consultar servicios en el host o la red local de la instancia, lo que permite ataques SSRF ciegos. Esto se ha corregido en la versión 2.8.1.	(es) webfinger.js es un cliente WebFinger basado en TypeScript que funciona tanto en navegadores como en entornos Node.js. En las versiones 2.8.0 y anteriores, la función de búsqueda acepta direcciones de usuario para la comprobación de cuentas. Sin embargo, la especificación ActivityPub exige impedir el acceso a los servicios del host local en producción. Esta librería no impide el acceso al host local, sino que solo comprueba los hosts que empiezan por "localhost" y terminan con un puerto. Los usuarios pueden aprovechar esto creando servidores que envíen solicitudes GET con parámetros de host, ruta y puerto controlados para consultar servicios en el host o la red local de la instancia, lo que permite ataques SSRF ciegos. Esto se ha corregido en la versión 2.8.1.

04 Aug 2025, 15:06

Type	Values Removed	Values Added
Summary		(es) webfinger.js es un cliente WebFinger basado en TypeScript que funciona tanto en navegadores como en entornos Node.js. En las versiones 2.8.0 y anteriores, la función de búsqueda acepta direcciones de usuario para la comprobación de cuentas. Sin embargo, la especificación ActivityPub exige impedir el acceso a los servicios del host local en producción. Esta biblioteca no impide el acceso al host local, sino que solo comprueba los hosts que empiezan por "localhost" y terminan con un puerto. Los usuarios pueden aprovechar esto creando servidores que envíen solicitudes GET con parámetros de host, ruta y puerto controlados para consultar servicios en el host o la red local de la instancia, lo que permite ataques SSRF ciegos. Esto se ha corregido en la versión 2.8.1.

01 Aug 2025, 18:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-08-01 18:15

Updated : 2026-06-17 09:40

NVD link : CVE-2025-54590

Mitre link : CVE-2025-54590

CVE.ORG link : CVE-2025-54590

JSON object : View

Products Affected

No product.

CWE

CWE-918

Server-Side Request Forgery (SSRF)

JSON object

Attach tags to CVE-2025-54590

Attach tags to `CVE-2025-54590`