CVE-2024-13671 描述了 WordPress 插件 Music Sheet Viewer 中的一个任意文件读取漏洞。该漏洞允许未经身份验证的攻击者通过 readscorefile() 函数读取服务器上的任意文件,从而可能泄露敏感数据。此漏洞影响 Music Sheet Viewer 的所有版本,包括 4.1 及更早版本。建议尽快升级插件或实施缓解措施以降低风险。
攻击者利用此漏洞可以读取服务器上的任何文件,包括配置文件、数据库凭据、源代码和其他敏感信息。如果攻击者能够访问包含数据库凭据的文件,他们可能能够完全控制数据库,从而访问和修改所有存储的数据。此外,攻击者还可以利用此漏洞来执行其他恶意活动,例如上传恶意文件或执行远程代码。由于该漏洞无需身份验证,因此攻击者可以轻松利用它,造成广泛的影响。
该漏洞已于 2025 年 1 月 30 日公开披露。目前尚无公开的利用程序 (PoC),但由于漏洞的严重性和易利用性,预计可能会出现。建议密切关注安全社区的动态,并及时采取措施。
WordPress websites utilizing the Music Sheet Viewer plugin, particularly those running versions prior to 4.1, are at risk. Shared hosting environments are especially vulnerable due to the potential for cross-site contamination and limited control over server file permissions. Sites with sensitive data stored in accessible locations on the server are also at increased risk.
• wordpress / composer / npm:
grep -r 'read_score_file()' /var/www/html/wp-content/plugins/music-sheet-viewer/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/music-sheet-viewer/read_score_file.php?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep music-sheet-viewerdisclosure
漏洞利用状态
EPSS
0.58% (69% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Music Sheet Viewer 插件升级到修复版本。如果无法立即升级,可以考虑以下临时缓解措施:限制插件对文件系统的访问权限,例如通过修改 WordPress 的文件权限。实施 Web 应用防火墙 (WAF) 规则,以阻止对 readscorefile() 函数的恶意请求。定期审查 WordPress 插件的配置,以确保其安全设置正确。
Actualice el plugin Music Sheet Viewer a la última versión disponible. Esto solucionará la vulnerabilidad de lectura de archivos arbitrarios no autenticada.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-13671 是 WordPress 插件 Music Sheet Viewer 中的一个安全漏洞,允许攻击者读取服务器上的任意文件。
如果您安装了 Music Sheet Viewer 插件的版本低于或等于 4.1,则可能受到此漏洞的影响。
建议立即将 Music Sheet Viewer 插件升级到修复版本。
目前尚无公开的利用程序,但由于漏洞的严重性和易利用性,预计可能会出现。
请访问 Music Sheet Viewer 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。