Trotz Warnungen: Über 300.000 Plex Media Server anfällig für Angriffe

Über 300.000 Plex Media Server bleiben trotz verfügbarem Patch anfällig für Angriffe über die kritische Sicherheitslücke CVE-2025-34158. Die Schwachstelle erhielt die höchste CVSS-Bewertung von 10.0 und kann ohne Authentifizierung ausgenutzt werden.

Kritische Sicherheitslücke bedroht Hunderttausende

Plex hatte Anfang August einen Fix veröffentlicht und seither immer wieder gewarnt, dass die Sicherheitslücke schnell geschlossen werden sollte. Die Schwachstelle betrifft Plex Media Server-Versionen 1.41.7.x bis 1.42.0.x und wurde in Version 1.42.1 behoben. Das Update steht auch im WinFuture-Downloadbereich zur Verfügung.

Mit einem CVSS-Score von 10.0 - der höchstmöglichen Bewertung - kann die Lücke remote über das Internet ausgenutzt werden, ohne dass eine Benutzerinteraktion oder Authentifizierung erforderlich ist. Das Sicherheitsunternehmen Censys warnt vor der anhaltenden Bedrohung, da von den ursprünglich 428.083 identifizierten Plex-Servern bis zum 25. August nur etwa 114.000 das notwendige Update installiert haben. Plex hat daher bereits Nutzer per E-Mail über die Dringlichkeit des Updates informiert, schreibt Helpnet Security. Die Karte zeigt: In Europa ist Plex weitverbreitet

Maximaler Schweregrad mit verheerenden Folgen

Die Schwachstelle CVE-2025-34158 basiert auf einer fehlerhaften Eingabevalidierung und könnte zu einem vollständigen Verlust von Vertraulichkeit, Integrität und Verfügbarkeit führen. Konkret bedeutet dies, dass Angreifer private Mediendateien einsehen, modifizieren oder löschen oder sogar den gesamten Plex-Server lahmlegen könnten. Die Popularität der Software macht die aktuelle Situation besonders brisant - Plex verzeichnet über 35 Millionen registrierte Nutzer weltweit.

Die gute Nachricht ist, dass technische Details über die Schwachstelle nicht öffentlich gemacht wurden und es keinen öffentlichen Proof-of-Concept-Exploit gibt. Sicherheitsexperten warnen jedoch, dass dies nur eine Frage der Zeit sein könnte, insbesondere angesichts der großen Anzahl noch immer verwundbarer Server.

Erinnerungen werden wach

Die Gefahr von Plex-Schwachstellen ist dabei nicht nur theoretisch. Der verheerende Datendiebstahl bei LastPass im August 2022 wurde durch Angreifer ermöglicht, die Malware auf dem Computer eines LastPass-Mitarbeiters installierten, nachdem sie ihn über eine Plex Media Server-Schwachstelle (CVE-2020-5741) kompromittiert hatten. Diese Schwachstelle war fast drei Jahre alt und bereits gepatcht, wurde aber vom betroffenen Mitarbeiter nie aktualisiert.

Dieser Vorfall verdeutlicht, wie veraltete Plex-Installationen als Einfallstor für weitreichende Cyberangriffe dienen können. Bei LastPass führte der Angriff letztendlich zum Diebstahl verschlüsselter Passwort-Tresore von Millionen von Nutzern.

Sicherheitsexperten empfehlen zusätzlich, die Netzwerkkonfiguration zu überprüfen und sicherzustellen, dass Plex-Server nicht unnötig dem Internet ausgesetzt sind. Wer seinen Server nur im lokalen Netzwerk nutzt, sollte die externe Erreichbarkeit deaktivieren. Dies macht sofortiges Patching kritisch, um das Exploitationsrisiko zu reduzieren und die Sicherheit der eigenen Medienbibliothek zu gewährleisten.


Habt ihr euren Plex Media Server bereits aktualisiert oder nutzt ihr andere Streaming-Lösungen? Teilt eure Erfahrungen in den Kommentaren!

Download Plex Media Server - Musik und Videos streamen
Siehe auch: