Plateforme
wordpress
Composant
music-sheet-viewer
Corrigé dans
4.1.1
La vulnérabilité CVE-2024-13671 affecte le plugin Music Sheet Viewer pour WordPress, permettant une lecture arbitraire de fichiers. Cette faille exploitable permet à des attaquants non authentifiés d'accéder au contenu de fichiers sensibles sur le serveur. Les versions concernées sont celles inférieures ou égales à 4.1. Une solution consiste à mettre à jour le plugin vers une version corrigée.
Cette vulnérabilité d'accès arbitraire de fichiers présente un risque significatif. Un attaquant peut exploiter cette faille pour lire des fichiers de configuration, des clés API, des informations d'identification de base de données, ou tout autre fichier accessible au serveur web. L'accès à ces informations peut permettre à l'attaquant de compromettre davantage le système, d'obtenir un accès non autorisé à des données sensibles, ou de modifier des fichiers critiques. Le potentiel de mouvement latéral est limité à l'accès aux fichiers sur le serveur web, mais l'impact sur la confidentialité et l'intégrité des données peut être important. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
La vulnérabilité a été publiée le 30 janvier 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation suggère une probabilité moyenne d'exploitation (EPSS score de niveau moyen). Aucun PoC public n'a été identifié à ce jour. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
WordPress websites utilizing the Music Sheet Viewer plugin, particularly those running versions prior to 4.1, are at risk. Shared hosting environments are especially vulnerable due to the potential for cross-site contamination and limited control over server file permissions. Sites with sensitive data stored in accessible locations on the server are also at increased risk.
• wordpress / composer / npm:
grep -r 'read_score_file()' /var/www/html/wp-content/plugins/music-sheet-viewer/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/music-sheet-viewer/read_score_file.php?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep music-sheet-viewerdisclosure
Statut de l'Exploit
EPSS
0.58% (percentile 69%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation consiste à mettre à jour le plugin Music Sheet Viewer vers une version corrigée dès que celle-ci sera disponible. En attendant, des mesures temporaires peuvent être prises. Il est possible de restreindre les permissions du serveur web pour limiter l'accès aux fichiers sensibles. L'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes malveillantes ciblant la fonction readscorefile(). Vérifiez également les permissions des fichiers et des répertoires pour vous assurer que seul le serveur web a l'accès nécessaire. Après la mise à jour, vérifiez l'intégrité du plugin et assurez-vous que la fonction readscorefile() n'est plus accessible.
Actualice el plugin Music Sheet Viewer a la última versión disponible. Esto solucionará la vulnerabilidad de lectura de archivos arbitrarios no autenticada.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-13671 is a vulnerability in the Music Sheet Viewer WordPress plugin allowing unauthenticated attackers to read arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using Music Sheet Viewer version 4.1 or earlier. Check your plugin versions immediately.
Update the Music Sheet Viewer plugin to the latest version. If immediate upgrade isn't possible, implement a WAF rule to block access to the vulnerable function.
Active exploitation is not currently confirmed, but the vulnerability's simplicity makes it a likely target. Monitor your systems closely.
Check the Music Sheet Viewer plugin page on WordPress.org for updates and security advisories.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.