Les utilisateurs de Plex Media Server sont invités à installer la dernière mise à jour de l'application : elle corrige une faille de sécurité. Bien que les détails techniques se fassent attendre, la méthode de communication inhabituelle de l'entreprise suggère une faille potentiellement critique.

Une faille découverte via le programme de Bug Bounty

La société Plex, éditrice du célèbre serveur multimédia, a envoyé un e-mail à ses utilisateurs pour les avertir d'une nouvelle de sécurité dans Plex Media Server. La vulnérabilité a été identifiée grâce au programme de Bug Bounty de Plex, qui récompense les chercheurs en sécurité pour la découverte et le signalement de failles.

"Vous recevez cet avis car nos informations indiquent qu'un serveur multimédia Plex appartenant à votre compte Plex utilise une version plus ancienne du serveur. Nous recommandons vivement à tous les utilisateurs de mettre à jour leur serveur Plex Media vers la version la plus récente dès que possible, si ce n'est pas déjà fait."

Cette communication directe, par e-mail, n'est pas fréquente de la part de Plex. À la lecture de ce message, et bien qu'il n'y ait pas de détails techniques, nous pouvons comprendre qu'il est urgent de patcher. Cette vulnérabilité, qui n'est pas encore associée à une référence CVE, pourrait être importante.

Comment se protéger ?

Comme le révèle Plex, cette faille de sécurité affecte les versions 1.41.7.x à 1.42.0.x de Plex Media Server.

"Nous avons récemment reçu un rapport via notre programme de bug bounty indiquant qu'il y avait un problème de sécurité potentiel affectant les versions 1.41.7.x à 1.42.0.x de Plex Media Server. Grâce à cet utilisateur, nous avons pu traiter le problème, publier une version mise à jour du serveur et continuer à améliorer notre sécurité et nos défenses.", peut-on lire.

La version patchée et que vous devez installer pour vous protéger de cette faille est la 1.42.1.10060 , publiée le 11 août 2025. Les notifications par e-mail, quant à elles, ont été envoyées au cours du week-end du 15 août 2025.

Source