ber 300.000 Plex Media Server bleiben trotz verfgbarem Patch anfllig fr Angriffe ber die kritische Sicherheitslcke CVE-2025-34158. Die Schwachstelle erhielt die hchste CVSS-Bewertung von 10.0 und kann ohne Authentifizierung ausgenutzt werden.
Plex
Kritische Sicherheitslcke bedroht Hunderttausende
Plex hatte Anfang August einen Fix verffentlicht und seither immer wieder gewarnt, dass die Sicherheitslcke schnell geschlossen werden sollte. Die Schwachstelle betrifft Plex Media Server-Versionen 1.41.7.x bis 1.42.0.x und wurde in Version 1.42.1 behoben. Das Update steht auch im WinFuture-Downloadbereich zur Verfgung.
Mit einem CVSS-Score von 10.0 – der hchstmglichen Bewertung – kann die Lcke remote ber das Internet ausgenutzt werden, ohne dass eine Benutzerinteraktion oder Authentifizierung erforderlich ist. Das Sicherheitsunternehmen Censys warnt vor der anhaltenden Bedrohung, da von den ursprnglich 428.083 identifizierten Plex-Servern bis zum 25. August nur etwa 114.000 das notwendige Update installiert haben. Plex hat daher bereits Nutzer per E-Mail ber die Dringlichkeit des Updates informiert, schreibt Helpnet Security. 
Die Karte zeigt: In Europa ist Plex weitverbreitet
Maximaler Schweregrad mit verheerenden Folgen
Die Schwachstelle CVE-2025-34158 basiert auf einer fehlerhaften Eingabevalidierung und knnte zu einem vollstndigen Verlust von Vertraulichkeit, Integritt und Verfgbarkeit fhren. Konkret bedeutet dies, dass Angreifer private Mediendateien einsehen, modifizieren oder lschen oder sogar den gesamten Plex-Server lahmlegen knnten. Die Popularitt der Software macht die aktuelle Situation besonders brisant – Plex verzeichnet ber 35 Millionen registrierte Nutzer weltweit.
Die gute Nachricht ist, dass technische Details ber die Schwachstelle nicht ffentlich gemacht wurden und es keinen ffentlichen Proof-of-Concept-Exploit gibt. Sicherheitsexperten warnen jedoch, dass dies nur eine Frage der Zeit sein knnte, insbesondere angesichts der groen Anzahl noch immer verwundbarer Server.
Erinnerungen werden wach
Die Gefahr von Plex-Schwachstellen ist dabei nicht nur theoretisch. Der verheerende Datendiebstahl bei LastPass im August 2022 wurde durch Angreifer ermglicht, die Malware auf dem Computer eines LastPass-Mitarbeiters installierten, nachdem sie ihn ber eine Plex Media Server-Schwachstelle (CVE-2020-5741) kompromittiert hatten. Diese Schwachstelle war fast drei Jahre alt und bereits gepatcht, wurde aber vom betroffenen Mitarbeiter nie aktualisiert.
Dieser Vorfall verdeutlicht, wie veraltete Plex-Installationen als Einfallstor fr weitreichende Cyberangriffe dienen knnen. Bei LastPass fhrte der Angriff letztendlich zum Diebstahl verschlsselter Passwort-Tresore von Millionen von Nutzern.
Sicherheitsexperten empfehlen zustzlich, die Netzwerkkonfiguration zu berprfen und sicherzustellen, dass Plex-Server nicht unntig dem Internet ausgesetzt sind. Wer seinen Server nur im lokalen Netzwerk nutzt, sollte die externe Erreichbarkeit deaktivieren. Dies macht sofortiges Patching kritisch, um das Exploitationsrisiko zu reduzieren und die Sicherheit der eigenen Medienbibliothek zu gewhrleisten.
Merke: Plex Media Server ist eine weit verbreitete Software, die es Nutzern ermglicht, ihren Windows-, Linux- oder macOS-Computer oder ihre netzwerkgebundenen Speichergerte in einen persnlichen Medienserver zu verwandeln. Die 2008 gegrndete Plattform organisiert Filme, Musik, Fotos und andere Medien und ermglicht das Streaming der Inhalte auf nahezu jedem Gert – von Smartphones ber Smart-TVs bis hin zu Spielkonsolen.
Habt ihr euren Plex Media Server bereits aktualisiert oder nutzt ihr andere Streaming-Lsungen? Teilt eure Erfahrungen in den Kommentaren!
Download Plex Media Server – Musik und Videos streamen
Zusammenfassung
- ber 300.000 Plex-Server trotz Patch fr kritische Lcke angreifbar
- Schwachstelle CVE-2025-34158 mit hchstem CVSS-Score von 10.0
- Angreifer knnten ohne Authentifizierung private Daten stehlen
- Nur etwa 114.000 Server bisher durch Update geschtzt
- Veraltete Plex-Server als Einfallstor fr andere Angriffe
- LastPass-Datenleck 2022 durch ungepatchte Plex-Schwachstelle
- Experten empfehlen berprfung der Netzwerkkonfiguration
Siehe auch:
ber 300.000 Plex Media Server bleiben trotz verfgbarem Patch anfllig fr Angriffe ber die kritische Sicherheitslcke CVE-2025-34158. Die Schwachstelle erhielt die hchste CVSS-Bewertung von 10.0 und kann ohne Authentifizierung ausgenutzt werden.
Plex
Kritische Sicherheitslcke bedroht Hunderttausende
Plex hatte Anfang August einen Fix verffentlicht und seither immer wieder gewarnt, dass die Sicherheitslcke schnell geschlossen werden sollte. Die Schwachstelle betrifft Plex Media Server-Versionen 1.41.7.x bis 1.42.0.x und wurde in Version 1.42.1 behoben. Das Update steht auch im WinFuture-Downloadbereich zur Verfgung.
Mit einem CVSS-Score von 10.0 – der hchstmglichen Bewertung – kann die Lcke remote ber das Internet ausgenutzt werden, ohne dass eine Benutzerinteraktion oder Authentifizierung erforderlich ist. Das Sicherheitsunternehmen Censys warnt vor der anhaltenden Bedrohung, da von den ursprnglich 428.083 identifizierten Plex-Servern bis zum 25. August nur etwa 114.000 das notwendige Update installiert haben. Plex hat daher bereits Nutzer per E-Mail ber die Dringlichkeit des Updates informiert, schreibt Helpnet Security. Die Karte zeigt: In Europa ist Plex weitverbreitet
Maximaler Schweregrad mit verheerenden Folgen
Die Schwachstelle CVE-2025-34158 basiert auf einer fehlerhaften Eingabevalidierung und knnte zu einem vollstndigen Verlust von Vertraulichkeit, Integritt und Verfgbarkeit fhren. Konkret bedeutet dies, dass Angreifer private Mediendateien einsehen, modifizieren oder lschen oder sogar den gesamten Plex-Server lahmlegen knnten. Die Popularitt der Software macht die aktuelle Situation besonders brisant – Plex verzeichnet ber 35 Millionen registrierte Nutzer weltweit.
Die gute Nachricht ist, dass technische Details ber die Schwachstelle nicht ffentlich gemacht wurden und es keinen ffentlichen Proof-of-Concept-Exploit gibt. Sicherheitsexperten warnen jedoch, dass dies nur eine Frage der Zeit sein knnte, insbesondere angesichts der groen Anzahl noch immer verwundbarer Server.
Erinnerungen werden wach
Die Gefahr von Plex-Schwachstellen ist dabei nicht nur theoretisch. Der verheerende Datendiebstahl bei LastPass im August 2022 wurde durch Angreifer ermglicht, die Malware auf dem Computer eines LastPass-Mitarbeiters installierten, nachdem sie ihn ber eine Plex Media Server-Schwachstelle (CVE-2020-5741) kompromittiert hatten. Diese Schwachstelle war fast drei Jahre alt und bereits gepatcht, wurde aber vom betroffenen Mitarbeiter nie aktualisiert.
Dieser Vorfall verdeutlicht, wie veraltete Plex-Installationen als Einfallstor fr weitreichende Cyberangriffe dienen knnen. Bei LastPass fhrte der Angriff letztendlich zum Diebstahl verschlsselter Passwort-Tresore von Millionen von Nutzern.
Sicherheitsexperten empfehlen zustzlich, die Netzwerkkonfiguration zu berprfen und sicherzustellen, dass Plex-Server nicht unntig dem Internet ausgesetzt sind. Wer seinen Server nur im lokalen Netzwerk nutzt, sollte die externe Erreichbarkeit deaktivieren. Dies macht sofortiges Patching kritisch, um das Exploitationsrisiko zu reduzieren und die Sicherheit der eigenen Medienbibliothek zu gewhrleisten.
Merke: Plex Media Server ist eine weit verbreitete Software, die es Nutzern ermglicht, ihren Windows-, Linux- oder macOS-Computer oder ihre netzwerkgebundenen Speichergerte in einen persnlichen Medienserver zu verwandeln. Die 2008 gegrndete Plattform organisiert Filme, Musik, Fotos und andere Medien und ermglicht das Streaming der Inhalte auf nahezu jedem Gert – von Smartphones ber Smart-TVs bis hin zu Spielkonsolen.
Habt ihr euren Plex Media Server bereits aktualisiert oder nutzt ihr andere Streaming-Lsungen? Teilt eure Erfahrungen in den Kommentaren!
Download Plex Media Server – Musik und Videos streamen
Zusammenfassung
- ber 300.000 Plex-Server trotz Patch fr kritische Lcke angreifbar
- Schwachstelle CVE-2025-34158 mit hchstem CVSS-Score von 10.0
- Angreifer knnten ohne Authentifizierung private Daten stehlen
- Nur etwa 114.000 Server bisher durch Update geschtzt
- Veraltete Plex-Server als Einfallstor fr andere Angriffe
- LastPass-Datenleck 2022 durch ungepatchte Plex-Schwachstelle
- Experten empfehlen berprfung der Netzwerkkonfiguration
Siehe auch:
