Plex, la populaire plateforme de serveur multimédia, est victime d’une vulnérabilité. Un utilisateur a en effet découvert une faille de sécurité dans « les versions 1.41.7.x à 1.42.0.x de Plex Media Server », indique Plex. L’utilisateur à l’origine de la découverte est entré en contact avec Plex par le biais du programme de bug bounty, qui offre des récompenses pour la traque de bugs.
À lire aussi : La nouvelle app Plex est disponible pour tous, avec une interface complètement revue
Plex déploie une mise à jour d’urgence
Peu après, Plex a contacté par mail tous les utilisateurs concernés. Le courriel indique que Plex a « pu corriger le problème, publier une mise à jour du serveur et poursuivre le renforcement de notre sécurité et de nos défenses ». Comme le souligne Plex dans sa communication, ce sont des versions antérieures du logiciel, remontant à quelques mois ou semaines, qui sont concernées par la brèche.
La plateforme recommande à toutes les personnes affectées de « mettre à jour son Plex Media Server vers la version la plus récente dès que possible ». Plex souligne que la nouvelle version du logiciel, à savoir l’itération 1.42.1.10060 ou ultérieure, est d’ores et déjà disponible. Celle-ci est proposée sur le site web de Plex, dans la page des téléchargements.
A lire aussi : Alerte Windows – Microsoft découvre une faille zero day qui permet de voler des données
Installez vite le correctif de Plex
L’entreprise s’est bien gardée de divulguer des détails sur la faille. Plex souhaite probablement éviter que des cybercriminels ne cherchent à l’exploiter dans le cadre de cyberattaques avant que tous les utilisateurs aient pu installer le correctif. On vous invite chaudement à installer la mise à jour avant que des pirates ne trouvent le moyen d’exploiter la faille en analysant le code du correctif mis à disposition. Il est plutôt rare que Plex contacte ses utilisateurs pour leur demander d’installer une mise à jour de sécurité concernant une faille bien précise. C’est pourquoi on peut penser que la situation est critique.
Pour rappel, une vulnérabilité de Plex est à l’origine de la cyberattaque contre LastPass, le gestionnaire de mots de passe, en 2022. Afin de pénétrer dans le système de l’entreprise, les attaquants ont piraté l’ordinateur privé d’un des ingénieurs en exploitant une faille du logiciel remontant à 2020. L’ingénieur a apparemment négligé pendant des années de mettre à jour son logiciel. Corrigée par Plex, la faille permettait « à un attaquant ayant accès au compte Plex de l’administrateur du serveur de télécharger un fichier malveillant via la fonction de téléchargement depuis la caméra et de le faire exécuter par le serveur multimédia » L’affaire illustre l’importance de bien mettre à jour Plex, ainsi que tous vos logiciels et systèmes d’exploitation.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bleeping Computer
