Plex Media Server: Noch ungepatchte Zugriffsschwachstellen

Im Plesk Media Server hatten die Entwickler im August eine Sicherheitslücke geschlossen. Kurz darauf gemeldete Zugriffssicherheitslecks haben sie offenbar jedoch noch nicht ausgebessert. Nutzerinnen und Nutzer sollten daher die Zugriffsmöglichkeiten sicherheitshalber einschränken.

In den am Wochenende veröffentlichten Schwachstellenmeldungen weist der Entwickler Luis Finke darauf hin, dass die Authentifizierungsschwachstelle CVE-2025-34158 (CVSS 8.5, Risiko „hoch“) zwar mit Version 1.42.1 vom Plex Media Server im August geschlossen wurde. Jedoch stehen flankierende Sicherheitslücken in der Zugriffstoken-Verwaltung weiterhin offen und stellen ein Risiko dar. Sie ermöglichen persistenten unautorisierten Zugriff, Rechteausweitung und erzeugen Probleme beim Zurückziehen kompromittierter Zugangsdaten.

Am schwersten wiegt demnach eine Lücke in Plex Media Server bis einschließlich der aktuellen Version 1.42.2.10156 vom September, durch die Angreifer sich mit einem temporären Zugangstoken durch einen Aufruf von „/myplex/account“ einen permanenten Zugangstoken verschaffen können (CVE-2025-69414, CVSS 8.5, Risiko „hoch“). Ein ähnlicher Aufruf, jedoch mit einem Geräte-Token, prüft nicht korrekt, ob das Gerät überhaupt mit einem Konto verknüpft ist (CVE-2025-69415, CVSS 7.1, Risiko „hoch“).

Schwachstellen im plex.tv-Backend

Zwei weitere Sicherheitslücken betreffen das plex.tv-Backend bis einschließlich der Version vom 31.12.2025. Ein nicht-Server-Geräte-Token kann andere Token aus „clients.plex.tv/devices.xml“ abgreifen, die für anderweitige Zugriffe vorgesehen sind (CVE-2025-69416, CVSS 5.0, Risiko „mittel“). Selbiges gelingt über einen „shared_servers“-API-Endpunkt (CVE-2025-69417, CVSS 5.0, Risiko „mittel“).

Da noch keine Aktualisierungen bereitstehen, die die teils hochriskanten Sicherheitslücken stopfen, sollten Plex-Nutzerinnen und -Nutzer die Zugriffe auf den Server auf vertrauenswürdige Adressen beschränken.

(dmk)