Se ha identificado una vulnerabilidad de alta gravedad en Plex Media Server (PMS), que afecta a las versiones desde la 1.41.7.x hasta la 1.42.0.x.
El problema deriva de una validación incorrecta de la entrada (CWE-20) y puede ser explotado de forma remota con baja complejidad, lo que podría derivar en consecuencias graves.
Plex ha publicado una corrección en la versión 1.42.1 (1.42.1.10060 o posterior).
| Producto | Plex Media Server |
| Fecha | 28-08-2025 09:40:30 |
| Información |
|
Resumen técnico
La vulnerabilidad (CVE-2025-34158) permite a un atacante aprovechar una validación incorrecta de la entrada dentro de PMS.
Es explotable de forma remota a través de la red, no requiere interacción del usuario, y puede requerir privilegios bajos o nulos dependiendo de la ruta de ataque.
Impacto potencial:
Exposición de datos sensibles (pérdida de confidencialidad)
Modificación no autorizada de datos (compromiso de la integridad)
Interrupción del servicio o potencial ejecución remota de código (riesgo para la disponibilidad)
Debido a la alta exposición de los servidores Plex en internet, se considera altamente probable un intento de explotación.
Recomendaciones
- Actualizar inmediatamente
- Actualizar Plex Media Server a la versión 1.42.1 (o posterior).
- Asegurarse de ejecutar al menos la 1.42.1.10060.
- Reducir la exposición
- Evitar exponer Plex Media Server directamente a internet.
- Limitar el acceso utilizando firewalls, VPN o segmentación de red.
- Monitorear los sistemas
- Verificar los registros (logs) del servidor en busca de actividades sospechosas.
- Monitorear el tráfico anómalo hacia los endpoints de PMS.
- Mantener la higiene de seguridad
- Aplicar regularmente las actualizaciones de Plex tan pronto como sean publicadas.
- Seguir los avisos de seguridad oficiales de Plex para cualquier nueva mitigación.
[Callforaction-THREAT-Footer]