Plataforma
wordpress
Componente
music-sheet-viewer
Corregido en
4.1.1
La vulnerabilidad CVE-2025-25155 es una falla de Path Traversal (acceso a archivos arbitrarios) descubierta en efreja Music Sheet Viewer. Esta vulnerabilidad permite a un atacante acceder a archivos fuera del directorio previsto, comprometiendo potencialmente la confidencialidad de datos sensibles. Afecta a las versiones de Music Sheet Viewer desde 0.0.0 hasta la 4.1, y se ha solucionado en la versión 4.1.1.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el sistema de archivos del servidor donde se ejecuta Music Sheet Viewer. Esto podría incluir archivos de configuración, código fuente, o incluso datos privados de los usuarios. El impacto potencial es alto, ya que un atacante podría obtener información confidencial, modificar archivos críticos o incluso ejecutar código malicioso si el servidor tiene permisos de escritura. La naturaleza de Path Traversal hace que la explotación sea relativamente sencilla, requiriendo solo la manipulación de parámetros en las solicitudes HTTP para acceder a archivos fuera del directorio esperado. Esta vulnerabilidad es similar a otras fallas de Path Traversal que han permitido el acceso no autorizado a información sensible en diversas aplicaciones web.
La vulnerabilidad fue publicada el 7 de febrero de 2025. No se ha añadido a la lista KEV de CISA, ni se conoce un puntaje EPSS. Actualmente no se dispone de información sobre la existencia de pruebas de concepto (PoCs) públicas o campañas de explotación activas. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
WordPress websites using the efreja Music Sheet Viewer plugin, particularly those running older versions (0.0.0 - 4.1), are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/music-sheet-viewer/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/music-sheet-viewer/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-25155 es actualizar Music Sheet Viewer a la versión 4.1.1 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio de instalación de Music Sheet Viewer a través de un firewall o servidor proxy. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo (por ejemplo, '..'). Es crucial revisar los permisos de los archivos y directorios para asegurar que solo los usuarios autorizados tengan acceso de lectura o escritura.
Actualice el plugin Music Sheet Viewer a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-25155 is a vulnerability allowing attackers to read files outside the intended directory in efreja Music Sheet Viewer due to improper input validation, resulting in a path traversal condition.
You are affected if you are using efreja Music Sheet Viewer versions 0.0.0 through 4.1. Versions 4.1.1 and later are not affected.
Upgrade efreja Music Sheet Viewer to version 4.1.1 or later. As a temporary workaround, implement a WAF rule to filter path traversal attempts.
Currently, there are no known active exploits, but the vulnerability's nature suggests potential for exploitation. Continuous monitoring is recommended.
Refer to the official efreja Music Sheet Viewer website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.