Platform
wordpress
Component
music-sheet-viewer
Opgelost in
4.1.1
CVE-2025-25155 beschrijft een 'Path Traversal' kwetsbaarheid in de efreja Music Sheet Viewer. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van Music Sheet Viewer van 0.0.0 tot en met 4.1. Een fix is beschikbaar in versie 4.1.1.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de beoogde directory te lezen. Dit omvat potentieel configuratiebestanden, broncode, of andere gevoelige data die op de server zijn opgeslagen. Afhankelijk van de bestanden die toegankelijk zijn, kan de aanvaller gevoelige informatie verkrijgen, de integriteit van het systeem compromitteren of zelfs code uitvoeren. De impact is aanzienlijk, aangezien de aanvaller potentieel volledige controle over de server kan verwerven.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-02-07. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de path traversal aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De EPSS score is momenteel niet bekend, maar gezien de openbare bekendmaking en de eenvoudige exploitatie, is een medium tot hoog risico waarschijnlijk. Er zijn geen meldingen van actieve campagnes bekend.
WordPress websites using the efreja Music Sheet Viewer plugin, particularly those running older versions (0.0.0 - 4.1), are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/music-sheet-viewer/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/music-sheet-viewer/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.14% (34% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 4.1.1 van efreja Music Sheet Viewer. Als een upgrade momenteel niet mogelijk is, implementeer dan restricties op bestandstoegang via de webserverconfiguratie (bijvoorbeeld Apache of Nginx) om de toegang tot gevoelige bestanden te beperken. Controleer alle ingevoerde paden op ongeldige karakters en zorg ervoor dat de applicatie alleen bestanden in de beoogde directory kan benaderen. Overweeg het gebruik van een Web Application Firewall (WAF) om pogingen tot path traversal te detecteren en te blokkeren.
Actualice el plugin Music Sheet Viewer a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-25155 is a vulnerability allowing attackers to read files outside the intended directory in efreja Music Sheet Viewer due to improper input validation, resulting in a path traversal condition.
You are affected if you are using efreja Music Sheet Viewer versions 0.0.0 through 4.1. Versions 4.1.1 and later are not affected.
Upgrade efreja Music Sheet Viewer to version 4.1.1 or later. As a temporary workaround, implement a WAF rule to filter path traversal attempts.
Currently, there are no known active exploits, but the vulnerability's nature suggests potential for exploitation. Continuous monitoring is recommended.
Refer to the official efreja Music Sheet Viewer website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.