Plex告诉用户因数据泄露而更改密码，推动服务器所有者进行升级

媒体流媒体公司Plex遭受了数据泄露，并敦促用户重置他们的帐户密码并启用双因素身份验证。

“未经授权的第三方从我们的一个数据库中访问了有限的客户数据子集。虽然我们迅速控制了事件，但访问的信息包括电子邮件、用户名、安全哈希密码和身份验证数据，”该公司周一在公司论坛上发布的公告中表示，并通过电子邮件发送给用户。

需要用户和服务器所有者操作

Plex Media Server是用于将计算机或网络连接的存储设备变成个人媒体服务器的软件。然后，服务器所有者可以授予其他用户对服务器的访问权限。

虽然Plex没有指定它使用哪种算法来散列用户密码，或者在散列用户密码之前是否添加独特的盐，但它表示密码是“根据最佳实践”散列的。

建议用户立即重置Plex帐户密码，退出所有设备（包括他们拥有的任何Plex媒体服务器），并使用新密码重新登录。使用单点登录（SSO）登录Plex的用户应完成注销过程，然后再次登录。

服务器所有者还必须再次声明他们的服务器，并可能更新它，因为Plex还宣布它已经“进行了调整”，暂时阻止“普通”用户连接到他们获得访问权限的任何Plex服务器。

给出的原因是，太多Plex Media Server实例尚未更新到1.42.1版本，该版本包含对漏洞（CVE-2025-34158CVE-2025-34158）的修复，该漏洞可能被身份验证用户远程利用，以访问服务器并篡改服务器和其上的数据。

Plex显然认为“个人接触”——即不满的家人和朋友——是推动服务器所有者升级的正确激励，他们可能是对的。

该公司表示：“一旦服务器更新到固定版本，其他用户将能够再次访问。”

谨防网络钓鱼企图

我们已经联系了Plex，以澄清他们的密码散列做法以及他们报告被盗的“身份验证数据”的具体性质，如果我们收到回复，我们将更新本文。

一种可能性是会话令牌受到影响，这可能会允许攻击者绕过身份验证要求——这也解释了Plex建议注销并使用新密码重新登录。

该公司强调，在妥协期间，用户信用卡数据没有被访问，因为他们没有存储任何数据。尽管如此，被盗的数据可用于安装网络钓鱼活动，用户应该留意这些数据。

该公司补充说：“我们提醒您，Plex的任何人都不会通过电子邮件联系您，要求您提供密码或信用卡号码进行付款。”

原文链接：https://www.helpnetsecurity.com/2025/09/09/plex-tells-users-to-change-passwords-due-to-data-breach-pushes-server-owners-to-upgrade/