LastPass工程师未更新 Plex 软件导致大规模数据泄露

据外媒报道，此前LastPass出现严重安全事故，调查发现此次事故源于该公司一高级工程师家用电脑的Plex软件的一个已知漏洞，而该漏洞早在2020年5月就修复了，但这位工程师从未更新软件打上补丁。该漏洞允许能访问服务器管理员Plex账号的人通过 Camera Upload 功能上传恶意文件，利用服务器数据目录位置与 Camera Upload 允许上传的库重叠，让 Plex 媒体服务器执行该恶意文件。