Plateforme
wordpress
Composant
music-sheet-viewer
Corrigé dans
4.1.1
La vulnérabilité CVE-2025-25155 est une faille de type Path Traversal découverte dans Music Sheet Viewer. Cette faille permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité des données. Elle affecte les versions de Music Sheet Viewer de 0.0.0 à 4.1. Une version corrigée, 4.1.1, est désormais disponible.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers sensibles stockés sur le serveur hébergeant Music Sheet Viewer. Cela inclut des fichiers de configuration, des données utilisateur, et potentiellement des informations confidentielles. L'accès non autorisé à ces fichiers peut conduire à la divulgation d'informations, à la modification de données, voire à la prise de contrôle du système. Bien que la description ne mentionne pas d'exploitation active, la nature de la vulnérabilité Path Traversal la rend facilement exploitable et comparable à d'autres failles similaires qui ont conduit à des violations de données importantes.
La vulnérabilité a été rendue publique le 7 février 2025. Il n'y a pas d'indication d'ajout à la liste KEV de CISA à ce jour. Aucun proof-of-concept public n'a été rapporté, mais la nature de la vulnérabilité Path Traversal suggère une probabilité d'exploitation relativement élevée. La sévérité CVSS de 7.5 (HIGH) reflète ce risque.
WordPress websites using the efreja Music Sheet Viewer plugin, particularly those running older versions (0.0.0 - 4.1), are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/music-sheet-viewer/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/music-sheet-viewer/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Music Sheet Viewer vers la version 4.1.1, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, une solution temporaire consiste à restreindre les permissions d'accès au répertoire de Music Sheet Viewer, en limitant l'accès aux seuls fichiers et dossiers nécessaires à son fonctionnement. Il est également recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de caractères typiques des attaques Path Traversal (../, ..\). Vérifiez après la mise à jour que l'accès aux fichiers sensibles est bien restreint en tentant d'accéder à des fichiers en dehors du répertoire prévu.
Actualice el plugin Music Sheet Viewer a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-25155 is a vulnerability allowing attackers to read files outside the intended directory in efreja Music Sheet Viewer due to improper input validation, resulting in a path traversal condition.
You are affected if you are using efreja Music Sheet Viewer versions 0.0.0 through 4.1. Versions 4.1.1 and later are not affected.
Upgrade efreja Music Sheet Viewer to version 4.1.1 or later. As a temporary workaround, implement a WAF rule to filter path traversal attempts.
Currently, there are no known active exploits, but the vulnerability's nature suggests potential for exploitation. Continuous monitoring is recommended.
Refer to the official efreja Music Sheet Viewer website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.