Schwere Token-Schwachstellen in Plex Media Server

Im Plex Media Server wurde die kritische Schwachstelle CVE-2025-34158 gefunden, die eine Privilegieneskalation innerhalb der Plattform erlaubte. Betroffen sind Versionen von 1.41.7 bis 1.42.0. Über den Endpunkt /myplex/account können authentifizierte Nicht-Besitzer das Admin-Zugriffstoken des Serverbesitzers auslesen und damit vollständige Kontrolle über geteilte Server sowie verbundene Plex-Instanzen erlangen. Die Lücke wurde im August 2025 mit Version 1.42.1 geschlossen.

Trotz des Patches bestehen laut Sicherheitsforschern weitere ungelöste Probleme im Token-Management. Demnach lassen sich temporäre Tokens weiterhin in permanente Zugriffstokens umwandeln, zudem sind Server- und Geräte-Tokens nur unzureichend widerrufbar. Angreifer könnten so auch nach Geräteentfernung oder Token-Wechsel dauerhaft Zugriff behalten.

Die Kombination aus zentral gespeicherten Zugriffstokens bei plex.tv und weitreichenden API-Zugriffen erhöht das Risiko großflächiger Kompromittierungen. Nutzerinnen und Nutzer wird dringend empfohlen, auf aktuelle Versionen zu aktualisieren und geteilte Zugriffe kritisch zu prüfen.

Related Posts

Fake Office Aktivierungstool: Hacker infiziert fast 2,8 Millionen Computer

Ein 29-jähriger litauischer Staatsbürger ist wegen seiner mutmaßlichen Beteiligung an einer groß angelegten Malwarekampagne festgenommen worden, so ein Bericht von Bleeping Computer. Der Verdächtige soll weltweit rund 2,8 Millionen Systeme mit Schadsoftware infiziert haben, die als illegales Aktivierungstool KMSAuto für Windows und Office getarnt war. Die Festnahme erfolgte nach einer Auslieferung aus Georgien nach Südkorea im Rahmen einer von Interpol koordinierten Aktion.

Read More

MongoBleed: Kritische MongoDB-Schwachstelle wird aktiv ausgenutzt

Mit CVE-2025-14847 ist Ende Dezember 2025 eine schwerwiegende Sicherheitslücke in MongoDB bekannt geworden, die unter dem Namen MongoBleed geführt wird. Die Schwachstelle erlaubt es nicht authentifizierten Angreifern, über manipulierte zlib-komprimierte Anfragen uninitialisierten Heap-Speicher aus MongoDB-Instanzen auszulesen. Laut Akamai kann dieser Speicher sensible Inhalte wie Klartext-Passwörter, API-Keys oder andere Zugangsdaten enthalten.

Read More

Kritische Firebox-Lücke: WatchGuard warnt vor aktiven Angriffen auf IKEv2

WatchGuard hat mit WGSA-2025-00027 eine kritische Schwachstelle in Firebox-Appliances bestätigt. Die als CVE-2025-14733 geführte Out-of-Bounds-Write-Lücke im iked-Prozess von Fireware OS ermöglicht es Angreifern, ohne Authentifizierung aus der Ferne beliebigen Code auszuführen. Der CVSS-Score liegt bei 9,3, WatchGuard beobachtet bereits aktive Exploit-Versuche im Internet.

Read More