Plex waarschuwt gebruikers: update zo snel mogelijk
Plex heeft gebruikers enkele dagen geleden via mail op de hoogte gebracht van een lek in versies 1.41.7.x tot 1.42.0.x van de Plex Media Server. Op dat moment was een patch met een fix al vier dagen beschikbaar, dus mogelijk is de kwetsbaarheid bij veel gebruikers al weggewerkt.
Het lek werd gemeld via een bug bounty-programma, maar veel details wil Plex er voorlopig niet over kwijt. Er is dus niets bekend over de aard van de kwetsbaarheid en ook een CVE-identificatienummer, dat wordt toegekend om lekken op te volgen, is nog niet toegewezen. Het feit dat Plex gebruikers via mail rechtstreeks oproept om zo snel mogelijk te updaten doet echter vermoeden dat het om een ernstige kwetsbaarheid gaat.
Plex wil risico beperken
Dat men karig is met het delen van informatie, is in de eerste plaats omdat het lek nog niet openlijk bekend is. De beste manier om te verhinderen dat cybercriminelen de kwetsbaarheid ontdekken is door er simpelweg geen extra informatie over te delen. Zo weten ze niet niet waar ze moeten gaan zoeken of wat ze met het lek zouden kunnen doen.
Natuurlijk bestaat er altijd het risico dat cybercriminelen het lek alsnog helemaal zelf ontdekken, dus bij Plex konden ze niet anders dan het dichten en gebruikers oproepen om hun systeem te updaten. Dat moet best ook zo snel mogelijk, want nu de fix er is, kunnen cybercriminelen de update binnenstebuiten keren om zo alsnog te achterhalen wat het lek precies zou kunnen zijn, waardoor het dus toch misbruikt kan gaan worden.
Niet de eerste keer
Het is niet de eerste keer dat Plex af te rekenen krijgt met een ernstig beveiligingsprobleem. In maart 2023 bijvoorbeeld bleek een drie jaar oude kwetsbaarheid actief misbruikt te worden. Via de exploit was het mogelijk om arbitraire code uit te voeren op de server van de gebruiker, wat natuurlijk verstrekkende gevolgen kan hebben.
Updaten is dus de boodschap, in dit geval naar versie 1.42.1.10060. Dat kan via de Plex Media Server zelf of via de downloadpagina van Plex.
