HIGHCVE-2025-25155CVSS 7.5

WordPress Music Sheet Viewer プラグイン <= 4.1 - 任意のファイル読み込み脆弱性

Q: CVE-2025-25155 — パス・トラバーサル脆弱性はefreja Music Sheet Viewerで何ですか？

CVE-2025-25155は、efreja Music Sheet Viewerのバージョン0.0.0～4.1において、攻撃者が任意のファイルを読み出すことを可能にするパス・トラバーサル脆弱性です。

Q: CVE-2025-25155でefreja Music Sheet Viewerを使用しています。影響を受けますか？

はい、efreja Music Sheet Viewerのバージョンが0.0.0から4.1までの場合は、この脆弱性の影響を受けます。バージョン4.1.1へのアップデートが必要です。

Q: CVE-2025-25155でefreja Music Sheet Viewerを修正するにはどうすればよいですか？

efreja Music Sheet Viewerをバージョン4.1.1にアップデートしてください。アップデートが難しい場合は、Webサーバーの設定でアクセスできるディレクトリを制限するなどの対策を講じてください。

Q: CVE-2025-25155は積極的に悪用されていますか？

現時点では公的な悪用事例は確認されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易であるため、今後悪用事例が増加する可能性があります。

Q: CVE-2025-25155に関するefreja Music Sheet Viewerの公式アドバイザリはどこで入手できますか？

efreja Music Sheet Viewerの公式アドバイザリは、開発元のウェブサイトまたはWordPressプラグインリポジトリで確認できます。

プラットフォーム

wordpress

コンポーネント

music-sheet-viewer

修正版

4.1.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-25155は、efreja Music Sheet Viewerにおいてパス・トラバーサル脆弱性が存在します。この脆弱性を悪用されると、攻撃者は本来アクセスできないファイルを読み出すことが可能となり、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは0.0.0から4.1までです。開発元はバージョン4.1.1で修正を提供しています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がMusic Sheet Viewerがアクセスできるファイルシステム内の任意のファイルを読み出すことを可能にします。例えば、設定ファイル、ログファイル、または他のアプリケーションのデータファイルなどが対象となる可能性があります。攻撃者は、この脆弱性を利用して、機密情報を窃取したり、システムの設定を改ざんしたり、さらには他のシステムへの攻撃の足がかりに利用する可能性があります。この脆弱性は、Webサーバーのファイル構造に依存するため、攻撃者はWebサーバーのディレクトリ構造を調査することで、より効果的に脆弱性を悪用できる可能性があります。

悪用の状況

CVE-2025-25155は、2025年2月7日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易であるため、今後悪用事例が増加する可能性があります。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites using the efreja Music Sheet Viewer plugin, particularly those running older versions (0.0.0 - 4.1), are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/music-sheet-viewer/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/music-sheet-viewer/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2025-02-07Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.14% (34% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmusic-sheet-viewer

ベンダーefreja

影響範囲修正版

0.0.0 – 4.14.1.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-02-03
公開日2025-02-07
更新日2026-04-28
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応として、まず、efreja Music Sheet Viewerをバージョン4.1.1にアップデートすることを推奨します。アップデートが困難な場合は、Webサーバーの設定でMusic Sheet Viewerがアクセスできるディレクトリを制限する、またはファイルアクセス権限を適切に設定することで、攻撃の影響を軽減できます。WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。アップデート後、ファイルアクセス権限が適切に設定されていることを確認し、不正なファイルアクセスがないかログを監視してください。

修正方法翻訳中…

Actualice el plugin Music Sheet Viewer a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio.  Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización.  Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-25155 — パス・トラバーサル脆弱性はefreja Music Sheet Viewerで何ですか？