聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CVE-2020-5741是位于Plex Media Server中的一个高危反序列化漏洞,可悲用于远程执行任意Python代码。Plex 公司在2020年5月的一份安全公告中提到,“该漏洞可导致能够访问服务器管理员Plex账户的攻击者通过Camera Upload特性上传恶意文件,并使媒体服务器执行。”该漏洞已在 Plex Media Server 1.19.3中修复,要求攻击者需要具有对Plex Media Server具有管理员访问权限才能实施成功利用,从而使其难以用于攻击中。
不过,Plex 在2022年8月披露一起数据泄露事件称,该漏洞影响超过1500万名客户,导致用户名、邮件和密码数据被盗。这就导致未修复的Plex Media Server实例仍然受影响。
虽然CISA并未共享关于在野利用的详情,但最近发布的媒体报道表明,去年发生的LastPass数据泄露事件可能与Plex漏洞被用于入侵DevOps工程师的计算机有关。
Plex 回应称,该公司严肃对待安全问题,并设立安全指南和漏洞奖励计划与外部合作。该公司提到从未发布未修复的漏洞情况,并非发现未修复漏洞遭公开的情况。另外,该公司从LastPass获悉该漏洞已遭利用,Plex在2020年5月份公开该漏洞详情。当时,Plex公司已发布修复版本,但LastPass并未激活补丁。Plex 公司将通过管理员UI发布关于更新的相关情况。
CISA还新增了另外一个漏洞,即位于XStream 中的远程代码执行漏洞CVE-2021-39144,该漏洞被指用于攻击VMware 产品。该漏洞影响VMware Cloud Foundation 和 NSX Data Center for vSphere。CISA提到,“该漏洞影响多款产品,包括但不仅限于VMware Cloud Foundation。”
根据BOD 22-01的要求,联邦机构需要在3月31日前修复这些漏洞。不过建议所有机构查看该分类表并应用必要补丁。
https://www.securityweek.com/cisa-warns-of-plex-vulnerability-linked-to-lastpass-hack/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):CISA提醒注意与LastPass泄露事件有关的Plex漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论