HIGHCVE-2024-13671CVSS 7.5

Music Sheet Viewer <= 4.1 - 認証されていない任意のファイル読み出し

Q: CVE-2024-13671 — 任意ファイルアクセス in Music Sheet Viewerとは何ですか？

CVE-2024-13671は、Music Sheet Viewerプラグインのバージョン4.1以前に存在する、認証されていない攻撃者がサーバー上の任意のファイルを読み取ることができるArbitrary File Read脆弱性です。

Q: CVE-2024-13671 in Music Sheet Viewerの影響はありますか？

はい、Music Sheet Viewerプラグインのバージョン4.1以前を使用している場合、攻撃者がサーバー上の機密ファイルにアクセスされるリスクがあります。

Q: CVE-2024-13671 in Music Sheet Viewerを修正するにはどうすればよいですか？

Music Sheet Viewerプラグインを最新バージョンにアップデートしてください。アップデートが利用できない場合は、プラグインを一時的に無効化するか、削除することを検討してください。

Q: CVE-2024-13671は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、WordPressプラグインの脆弱性は悪用される可能性があり、注意が必要です。

Q: CVE-2024-13671に関するMusic Sheet Viewerの公式アドバイザリはどこで入手できますか？

Music Sheet Viewerの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。

プラットフォーム

wordpress

コンポーネント

music-sheet-viewer

修正版

4.1.1

AI Confidence: highNVDEPSS 0.6%レビュー済み: 2026年5月

NVDで見る

保存

Music Sheet Viewerプラグインのバージョン4.1以前には、Arbitrary File Read脆弱性が存在します。この脆弱性は、readscorefile()関数を通じて、認証されていない攻撃者がサーバー上の任意のファイルを読み取ることが可能となり、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは4.1以前です。開発者はアップデートを推奨しており、プラグインの更新によりこの脆弱性は修正されています。

影響と攻撃シナリオ

このArbitrary File Read脆弱性は、攻撃者がサーバー上の機密ファイルにアクセスすることを可能にします。攻撃者は、設定ファイル、データベースダンプ、ソースコードなど、重要な情報を盗み出す可能性があります。取得した情報に基づいて、攻撃者はシステムへのさらなる侵入を試みたり、機密情報を悪用したりする可能性があります。WordPressプラグインの脆弱性は、しばしばサプライチェーン攻撃の起点となり、他のシステムへの影響を拡大させる可能性があります。

悪用の状況

この脆弱性は、2025年1月30日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、WordPressプラグインの脆弱性は、しばしば悪用される傾向があります。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を利用して、サーバー上の機密情報を盗み出す可能性があります。

リスク対象者翻訳中…

WordPress websites utilizing the Music Sheet Viewer plugin, particularly those running versions prior to 4.1, are at risk. Shared hosting environments are especially vulnerable due to the potential for cross-site contamination and limited control over server file permissions. Sites with sensitive data stored in accessible locations on the server are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'read_score_file()' /var/www/html/wp-content/plugins/music-sheet-viewer/

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/music-sheet-viewer/read_score_file.php?file=/etc/passwd

• wordpress / composer / npm:

wp plugin list --status=inactive | grep music-sheet-viewer

攻撃タイムライン

2025-01-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.58% (69% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmusic-sheet-viewer

ベンダーefreja

影響範囲修正版

* – 4.14.1.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-01-23
公開日2025-01-30
EPSS 更新日2026-04-02

未パッチ — 公開から479日経過

緩和策と回避策

Music Sheet Viewerプラグインを最新バージョンにアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが利用できない場合、プラグインを一時的に無効化するか、削除することを検討してください。WAF（Web Application Firewall）を導入し、ファイルアクセスリクエストを監視することで、攻撃を軽減できます。また、WordPressのセキュリティ設定を強化し、不要なファイルの公開を制限することも有効です。ファイルアクセス権限を適切に設定し、攻撃対象領域を最小限に抑えることが重要です。アップデート後、プラグインの動作を確認し、ファイルアクセス権限が正しく設定されていることを確認してください。

修正方法翻訳中…

Actualice el plugin Music Sheet Viewer a la última versión disponible. Esto solucionará la vulnerabilidad de lectura de archivos arbitrarios no autenticada.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-13671 — 任意ファイルアクセス in Music Sheet Viewerとは何ですか？