WordPress Music Sheet Viewer प्लगइन <= 4.1 - मनमाना फ़ाइल रीड (Arbitrary File Read) भेद्यता

यह पथ पारगमन भेद्यता Music Sheet Viewer के भीतर फ़ाइल पथों को ठीक से मान्य करने में विफलता के कारण उत्पन्न होती है। एक हमलावर विशेष रूप से तैयार किए गए अनुरोधों का उपयोग करके, सिस्टम पर मनमाने ढंग से फ़ाइलों तक पहुँच सकता है, भले ही वे सामान्य रूप से एक्सेस करने के लिए प्रतिबंधित हों। इसका मतलब है कि हमलावर संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य महत्वपूर्ण डेटा तक पहुँच प्राप्त कर सकता है। संभावित प्रभाव में डेटा का खुलासा, सिस्टम की अखंडता से समझौता और संभावित रूप से सिस्टम पर नियंत्रण शामिल है। इस भेद्यता का शोषण करने के लिए हमलावर को Music Sheet Viewer इंस्टेंस तक पहुँच की आवश्यकता होती है।

WordPress websites using the efreja Music Sheet Viewer plugin, particularly those running older versions (0.0.0 - 4.1), are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable.

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/music-sheet-viewer/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/music-sheet-viewer/../../../../etc/passwd' # Check for file disclosure

1. 2025-02-07Disclosure

   disclosure

1. आरक्षित2025-02-03
2. प्रकाशित2025-02-07
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-04-02

CVE-2025-25155 के लिए प्राथमिक शमन उपाय Music Sheet Viewer को संस्करण 4.1.1 में अपडेट करना है, जिसमें इस भेद्यता को ठीक किया गया है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने पर विचार करें जो पथ पारगमन हमलों को ब्लॉक कर सके। इसके अतिरिक्त, Music Sheet Viewer इंस्टेंस के लिए फ़ाइल सिस्टम अनुमतियों को सख्त करना और केवल आवश्यक उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुँच प्रदान करना महत्वपूर्ण है। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी संभावित कमजोरियों की पहचान करने और उन्हें कम करने में मदद कर सकते हैं।