← volver
CVE-2020-5741

CVE-2020-5741

CVSS 7.2 HIGHEPSS 72.9%● KEVCWE-502
Vexday Risk Score
100Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 7.2EPSS 72.9%KEV simPoC públicaNuclei Metasploit simPatch
Ciclo de vida
07 may 2020Exploit Metasploit disponible
08 may 2020Publicada en NVD
10 mar 2023Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

Plex Media Server en Windows tiene una falla que permite a usuarios autenticados ejecutar código Python malicioso enviando datos especialmente construidos. Esto es peligroso porque los atacantes con credenciales válidas pueden tomar control total del servidor.

Detalle técnico

Vulnerabilidad de deserialización insegura (CWE-502) en Plex Media Server (Windows) permite ejecución remota de código a través de datos serializados no confiables. Un atacante autenticado puede crear entrada maliciosa que ejecute código Python arbitrario con privilegios del servidor.

Resumen generado y traducido por IA a partir de la descripción oficial.
Deserialization of Untrusted Data in Plex Media Server on Windows allows a remote, authenticated attacker to execute arbitrary Python code.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · Plex Media Server (Windows)
PoCs públicas encontradas1
cve_referencepacketstormsecurity.com/files/158470/Plex-Unpickle-Dict-Windows-Remote-Code-Execution.htmlno verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/158470/Plex-Unpickle-Dict-Windows-Remote-Code-Execution.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-5741https://www.tenable.com/security/research/tra-2020-32