LastPass 的嚴(yán)重安全事故本可可以避免。攻擊者利用了該公司一高級工程師家用電腦上安裝的 Plex 軟件的一個已知漏洞，而該漏洞早在 2020 年 5 月 7 日就修復(fù)了，但不知道出于什么原因，這位工程師從未更新軟件打上補丁。該漏洞允許能訪問服務(wù)器管理員 Plex 賬號的人通過 Camera Upload 功能上傳惡意文件，利用服務(wù)器數(shù)據(jù)目錄位置與 Camera Upload 允許上傳的庫重疊，讓 Plex 媒體服務(wù)器執(zhí)行該惡意文件。Plex Media Server v1.19.3 修復(fù)了該漏洞，而到攻擊者利用漏洞入侵工程師的電腦時 Plex 都發(fā)布了 75 個版本。

https://www.androidpolice.com/lastpass-breach-plex-update/