Name: Tremplin Numérique
Price range: $$$

Les personnes qui sautent des mises à jour de sécurité malgré leur indication comme importantes n'ont rien de nouveau. Dans le cas de Plex, cependant, le dernier correctif de sécurité urgent qui n'est pas dans la plupart des serveurs Plex pourrait maintenant devenir rapidement un problème.

Environ 314 000 serveurs Plex continuent d'être vulnérables à une faille de sécurité urgente divulguée par Plex il y a quelques semaines. La vulnérabilité, qui est désormais identifiée comme CVE-2025-34158, porte la cote de gravité la plus élevée possible et pourrait permettre aux attaquants de compromettre complètement les systèmes affectés. Vendredi dernier, Censys a identifié 428 083 instances de serveur de médias Plex accessibles en ligne, principalement situées aux États-Unis et en Europe. Le lundi 25 août, une analyse mise à jour a confirmé qu'au moins 314 000 de ces serveurs exécutaient toujours des versions vulnérables. Ce n'est pas seulement un grand nombre, mais cela signifie également qu'un peu plus de 100 000 serveurs Plex sur le total de 428k ont mis à jour la dernière version. Yikes.

À l'époque où Plex a divulgué la vulnérabilité et a déployé le correctif, il n'avait même pas de numéro CVE. Maintenant, nous savons un peu comment cela fonctionne. La faille a reçu un score CVSS de 10,0, le niveau de gravité le plus élevé possible. Ce score indique que la vulnérabilité peut être exploitée à distance sur Internet, est facile à exécuter et ne nécessite aucune authentification ou interaction du propriétaire du serveur. Une attaque réussie pourrait entraîner une perte totale de confidentialité, d'intégrité et de disponibilité. Un attaquant peut accéder, modifier ou supprimer les fichiers multimédias privés d'un utilisateur, ou même désactiver l'intégralité du serveur PLEX. Plex a initialement retenu certains de ces détails pour empêcher les acteurs malveillants d'exploiter la vulnérabilité, mais cela allait finalement se révéler – et avec la plupart des serveurs plex toujours affectés, c'est un énorme problème.

Il existe de nombreux serveurs plex, ce qui signifie que ce problème peut même devenir une passerelle pour les attaques plus importantes. Peut-être que l'exemple le plus profond de ceci est la violation de LastPass d'août 2022, où les attaquants ont accédé initial au réseau d'entreprise d'un employé principal en exploitant une vulnérabilité différente (CVE-2010-5741) dans son serveur Plex à domicile.

Pour l'instant, il existe une petite doublure argentée pour les utilisateurs vulnérables: aucun exploit de preuve de concept public (POC) ou une rupture technique détaillée de la vulnérabilité n'a été publié. Avec le problème qui persiste sous les projecteurs publics, c'est une question de temps jusqu'à ce qu'il y ait, c'est pourquoi je dis pour l'instant. Un attaquant sera attiré par la quantité de serveurs plex qui sont encore vulnérables et essaieront de travailler avec.

À l'heure actuelle, la meilleure chose que vous puissiez faire est de mettre à jour votre serveur Plex. Vous auriez dû le faire il y a deux semaines, mais il vaut mieux tard que jamais.