Plataforma
wordpress
Componente
music-sheet-viewer
Corregido en
4.1.1
El plugin Music Sheet Viewer para WordPress es vulnerable a una falla de Acceso Arbitrario a Archivos. Esta vulnerabilidad permite a atacantes no autenticados leer el contenido de archivos arbitrarios en el servidor, comprometiendo la confidencialidad de la información sensible. Afecta a todas las versiones hasta la 4.1 inclusive. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad para leer archivos confidenciales almacenados en el servidor web. Esto podría incluir archivos de configuración, contraseñas, claves API, o incluso código fuente. La lectura de estos archivos podría revelar información sensible que permita al atacante comprometer aún más el sistema, como obtener acceso a la base de datos o ejecutar código malicioso. La falta de autenticación necesaria para explotar la vulnerabilidad amplía su alcance y la hace particularmente peligrosa, similar a otras vulnerabilidades de acceso a archivos en plugins de WordPress.
Esta vulnerabilidad fue publicada el 30 de enero de 2025. No se ha reportado explotación activa en campañas conocidas, pero la falta de autenticación necesaria para la explotación la convierte en un objetivo atractivo. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
WordPress websites utilizing the Music Sheet Viewer plugin, particularly those running versions prior to 4.1, are at risk. Shared hosting environments are especially vulnerable due to the potential for cross-site contamination and limited control over server file permissions. Sites with sensitive data stored in accessible locations on the server are also at increased risk.
• wordpress / composer / npm:
grep -r 'read_score_file()' /var/www/html/wp-content/plugins/music-sheet-viewer/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/music-sheet-viewer/read_score_file.php?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep music-sheet-viewerdisclosure
Estado del Exploit
EPSS
0.58% (69% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Music Sheet Viewer a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda restringir el acceso al directorio del plugin a través de reglas de firewall o WAF. Además, se pueden implementar reglas de WAF para bloquear solicitudes que intenten acceder a archivos fuera del directorio del plugin. Revise los logs del servidor en busca de intentos de acceso a archivos sospechosos.
Actualice el plugin Music Sheet Viewer a la última versión disponible. Esto solucionará la vulnerabilidad de lectura de archivos arbitrarios no autenticada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13671 is a vulnerability in the Music Sheet Viewer WordPress plugin allowing unauthenticated attackers to read arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using Music Sheet Viewer version 4.1 or earlier. Check your plugin versions immediately.
Update the Music Sheet Viewer plugin to the latest version. If immediate upgrade isn't possible, implement a WAF rule to block access to the vulnerable function.
Active exploitation is not currently confirmed, but the vulnerability's simplicity makes it a likely target. Monitor your systems closely.
Check the Music Sheet Viewer plugin page on WordPress.org for updates and security advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.