Im Plex Media Server wurde die kritische Schwachstelle CVE-2025-34158 gefunden, die eine Privilegieneskalation innerhalb der Plattform erlaubte. Betroffen sind Versionen von 1.41.7 bis 1.42.0. Über den Endpunkt /myplex/account können authentifizierte Nicht-Besitzer das Admin-Zugriffstoken des Serverbesitzers auslesen und damit vollständige Kontrolle über geteilte Server sowie verbundene Plex-Instanzen erlangen. Die Lücke wurde im August 2025 mit Version 1.42.1 geschlossen.
Trotz des Patches bestehen laut Sicherheitsforschern weitere ungelöste Probleme im Token-Management. Demnach lassen sich temporäre Tokens weiterhin in permanente Zugriffstokens umwandeln, zudem sind Server- und Geräte-Tokens nur unzureichend widerrufbar. Angreifer könnten so auch nach Geräteentfernung oder Token-Wechsel dauerhaft Zugriff behalten.
Die Kombination aus zentral gespeicherten Zugriffstokens bei plex.tv und weitreichenden API-Zugriffen erhöht das Risiko großflächiger Kompromittierungen. Nutzerinnen und Nutzer wird dringend empfohlen, auf aktuelle Versionen zu aktualisieren und geteilte Zugriffe kritisch zu prüfen.
