Plataforma
wordpress
Componente
music-sheet-viewer
Corrigido em
4.1.1
A vulnerabilidade CVE-2024-13671 afeta o plugin Music Sheet Viewer para WordPress, permitindo acesso arbitrário de arquivos. Essa falha permite que atacantes não autenticados leiam arquivos do servidor, potencialmente expondo informações confidenciais. As versões afetadas são aquelas anteriores ou iguais a 4.1. A correção envolve a atualização para uma versão corrigida do plugin.
Um atacante explorando essa vulnerabilidade pode ler qualquer arquivo acessível ao processo do WordPress, incluindo arquivos de configuração, chaves de API, e até mesmo código-fonte. Isso pode levar à exposição de credenciais de banco de dados, informações de usuários, ou segredos de aplicativos. O impacto potencial é alto, pois a leitura de arquivos de configuração pode revelar informações sensíveis sobre a infraestrutura do servidor. Em cenários mais graves, um atacante pode usar essa vulnerabilidade para escalar privilégios e obter controle total sobre o servidor WordPress.
A vulnerabilidade foi divulgada em 30 de janeiro de 2025. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) no momento. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress websites utilizing the Music Sheet Viewer plugin, particularly those running versions prior to 4.1, are at risk. Shared hosting environments are especially vulnerable due to the potential for cross-site contamination and limited control over server file permissions. Sites with sensitive data stored in accessible locations on the server are also at increased risk.
• wordpress / composer / npm:
grep -r 'read_score_file()' /var/www/html/wp-content/plugins/music-sheet-viewer/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/music-sheet-viewer/read_score_file.php?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep music-sheet-viewerdisclosure
Status do Exploit
EPSS
0.58% (percentil 69%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Music Sheet Viewer para uma versão corrigida. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório. Utilize um Web Application Firewall (WAF) para bloquear solicitações maliciosas que tentem acessar arquivos não autorizados. Monitore os logs do servidor em busca de tentativas de acesso suspeitas.
Actualice el plugin Music Sheet Viewer a la última versión disponible. Esto solucionará la vulnerabilidad de lectura de archivos arbitrarios no autenticada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-13671 is a vulnerability in the Music Sheet Viewer WordPress plugin allowing unauthenticated attackers to read arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using Music Sheet Viewer version 4.1 or earlier. Check your plugin versions immediately.
Update the Music Sheet Viewer plugin to the latest version. If immediate upgrade isn't possible, implement a WAF rule to block access to the vulnerable function.
Active exploitation is not currently confirmed, but the vulnerability's simplicity makes it a likely target. Monitor your systems closely.
Check the Music Sheet Viewer plugin page on WordPress.org for updates and security advisories.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.