LastPass 工程師被利用的軟件漏洞有近三年歷史

LastPass 的嚴重安全事故本可可以避免。攻擊者利用了該公司一高級工程師家用電腦上安裝的 Plex 軟件的一個已知漏洞，而該漏洞早在 2020 年 5 月 7 日就修復了，但不知道出于什么原因，這位工程師從未更新軟件打上補丁。該漏洞允許能訪問服務器管理員 Plex 賬號的人通過 Camera Upload 功能上傳惡意文件，利用服務器數據目錄位置與 Camera Upload 允許上傳的庫重疊，讓 Plex 媒體服務器執行該惡意文件。Plex Media Server v1.19.3 修復了該漏洞，而到攻擊者利用漏洞入侵工程師的電腦時 Plex 都發布了 75 個版本。