Επείγον: Ενημερώστε το Plex Media Server — κρίσιμο κενό ασφαλείας διορθώθηκε με την έκδοση 1.42.1.10060

Η Plex προειδοποιεί όσους χρησιμοποιούν το Plex Media Server να ενημερώσουν άμεσα, καθώς εντοπίστηκε και διορθώθηκε ευπάθεια που επηρεάζει τις εκδόσεις 1.41.7.x έως 1.42.0.x, με τη διόρθωση να διατίθεται στην έκδοση 1.42.1.10060 ή νεότερη. Η εταιρεία απέστειλε στοχευμένα emails σε χρήστες που συνδέονται με ευάλωτους servers, εξηγώντας ότι το ζήτημα αναφέρθηκε μέσω του bug bounty προγράμματός της και διορθώθηκε, χωρίς προς το παρόν να κοινοποιούνται τεχνικές λεπτομέρειες ή CVE-ID, κάτι που υπογραμμίζει την ανάγκη άμεσης αναβάθμισης πριν υπάρξει αναστροφή μηχανικής του patch από επιτιθέμενους.

Σύμφωνα με την ενημέρωση, οι χρήστες θα πρέπει να αναβαθμίσουν τον server είτε από τη σελίδα διαχείρισης είτε μέσω του επίσημου downloader, όπου είναι διαθέσιμη η ασφαλής έκδοση 1.42.1.10060, η οποία και επισημαίνεται ρητά στα changelogs ως διόρθωση «potential vulnerability» (PM‑3458). Αναφορές στην κοινότητα του Plex επιβεβαιώνουν τη μαζική αποστολή προειδοποιητικών email, επισημαίνοντας ότι το πρόβλημα αγγίζει εκδόσεις που κυκλοφόρησαν από την άνοιξη του 2025, ενώ η ευπάθεια διορθώθηκε λίγες ημέρες πριν την κοινοποίηση, ακολουθώντας το μοντέλο «fix first, disclose later» για μετρίαση κινδύνου.

Παρότι η Plex δεν έχει δημοσιεύσει τη φύση της ευπάθειας, η πρακτική σύσταση είναι σαφής: ενημέρωση τώρα και έλεγχος της έκθεσης στο διαδίκτυο, ειδικά αν ο server είναι προσβάσιμος απομακρυσμένα, καθώς μετά τη δημοσιότητα αυξάνονται οι πιθανότητες τα patches να αναλυθούν για δημιουργία exploit. Σημειώνεται ότι πρόσφατη επιδιόρθωση (1.42.1.10054) εμφάνισε ξεχωριστό λειτουργικό ζήτημα «core component» σε ορισμένες εγκαταστάσεις, με την Plex να προτείνει λύσεις και γρήγορα να διανέμει νεότερο build· οι οδηγίες της εταιρείας παραμένουν να μην επιστρέφουν οι διαχειριστές σε ευάλωτες εκδόσεις 1.41.7.x–1.42.0.x λόγω του κινδύνου ασφαλείας.

Το ιστορικό ασφάλειας της Plex δικαιολογεί την αυξημένη ετοιμότητα: το 2022 η πλατφόρμα ζήτησε μαζική επαναφορά κωδικών μετά από παραβίαση βάσης δεδομένων με emails, usernames και hashed passwords, ενώ το 2023 η CISA κατέγραψε ενεργή εκμετάλλευση της RCE ευπάθειας CVE‑2020‑5741, η οποία συνδέθηκε αργότερα με αρχικό σημείο πρόσβασης σε περιστατικό μεγάλης κλίμακας σε τρίτη εταιρεία. Αυτές οι περιπτώσεις καταδεικνύουν γιατί η έγκαιρη εγκατάσταση patches και ο έλεγχος των logs είναι κρίσιμα βήματα για τη σωστή ασφάλεια του συστήματός μας.