/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/08/vulnerabilita-plex-media-server-aggiornamento.jpg "Plex Media Server: patch urgente per una falla critica, libreria multimediale a rischio!")
Plex Media Server è una piattaforma di streaming e gestione multimediale che consente di organizzare, catalogare e distribuire contenuti digitali – come film, serie TV, musica e foto – su una vasta gamma di dispositivi, dai PC ai televisori smart, fino a smartphone e console di gioco. Il software funziona come un server centrale, accessibile sia in rete locale sia da remoto, grazie a un’infrastruttura che combina porte dedicate, protocolli di discovery e autenticazione basata su account cloud Plex. Ha destato quindi preoccupazione il messaggio urgente inviato ad alcuni utenti di Plex per informarli della pressante necessità di aggiornare immediatamente i propri server multimediali a causa di una vulnerabilità di sicurezza appena risolta.
Patch per Plex Media Server e avviso agli utenti
Attraverso il programma di bug bounty dell’azienda, Plex ha rilevato che le versioni di Plex Media Server comprese tra la 1.41.7.x e la 1.42.0.x sono affette da un problema di sicurezza. Al momento, tuttavia, c’è massimo riserbo sui dettagli tecnici del problema di sicurezza, non è stato ancora assegnato un identificativo CVE né pubblicata una descrizione ufficiale.
Quattro giorni dopo il rilascio delle patch, Plex ha inviato un’email ai clienti coinvolti sottolineando la necessità di procedere con l’aggiornamento senza indugio. La versione correttiva è Plex Media Server 1.42.1.10060, disponibile sia tramite la pagina di gestione dei server sia tramite sito ufficiale.
Nella comunicazione, l’azienda ha spiegato che l’anomalia arriva da una segnalazione di un ricercatore indipendente ed è ora risolta. La scelta di non entrare nel merito delle caratteristiche della falla non è casuale: la pubblicazione prematura dei dettagli tecnici potrebbe infatti favorire un’analisi di reverse engineering della patch, aprendo la strada allo sviluppo di exploit prima che la maggior parte degli utenti abbia effettuato l’aggiornamento.
Perché Plex non rivela i dettagli subito
Talvolta le aziende applicano un approccio di “security through obscurity” temporanea: una volta rilasciata la patch, i criminali informatici possono confrontare la vecchia e la nuova versione del software (binary diffing) per individuare cosa è cambiato.
Se Plex pubblicasse la natura della falla (es. RCE, buffer overflow, SQL injection), gli attaccanti saprebbero già cosa cercare e avrebbero meno lavoro di analisi da svolgere.
Partendo dal presupposto che molti amministratori non aggiornano subito i server, ritardare i dettagli offre una “finestra di sicurezza” per permettere agli utenti di applicare la patch prima che compaiano exploit pubblici.
Plex Media Server, per funzionare correttamente, espone diversi servizi in ascolto su porte TCP/UDP sia in locale che in remoto. Non è dato sapere quale componente software sia interessato dal problema di sicurezza. Tuttavia, la porta TCP 32400 (principale) è quella usata per l’interfaccia Web di amministrazione e per lo streaming: se accessibile da Internet, diventa un vettore diretto per attacchi da remoto.
Plex spesso configura automaticamente il port forwarding sul router via UPnP, esponendo la porta 32400 su Internet senza che l’utente debba far nulla. Ciò significa che moltissimi utenti casalinghi hanno Plex accessibile pubblicamente, anche senza averlo configurato intenzionalmente. Plex utilizza poi protocolli di discovery su LAN (SSDP, GDM) e API REST interne.
Se la vulnerabilità riguardasse questi meccanismi, un attaccante potrebbe sfruttarla facilmente, a seconda del luogo in cui si trova fisicamente.
Ancora, se la falla in questione consentisse il bypass dell’autenticazione o l’escalation di privilegi, un attaccante potrebbe ottenere controllo completo del server, inclusa l’esecuzione di codice arbitrario (RCE).
Implicazioni per gli utenti e buone pratiche
La scelta di Plex di avvisare proattivamente gli utenti tramite email, pratica rara nella storia della piattaforma, segnala la possibile gravità della vulnerabilità adesso corretta. In assenza di dettagli tecnici, l’unica difesa è l’aggiornamento immediato.
Per ridurre i rischi futuri, è raccomandabile adottare alcune misure:
- Aggiornamenti regolari: mantenere sempre il server e i client Plex all’ultima versione disponibile.
- Segmentazione della rete: ospitare Plex su subnet dedicate o VLAN, limitando la visibilità ai soli dispositivi autorizzati.
- Monitoraggio dei log: attivare controlli di sicurezza per individuare comportamenti anomali (accessi da IP sospetti, esecuzione di processi inusuali).
- Accesso remoto sicuro: evitare configurazioni con porte esposte pubblicamente, preferendo VPN o tunnel cifrati.
/https://www.ilsoftware.it/app/uploads/2025/08/ffmpeg-trascrizioni-whisper-accelerazione-vulkan.jpg "FFmpeg 8.0: Trascrizioni automatiche con Whisper e Accelerazione video Vulkan")
/https://www.ilsoftware.it/app/uploads/2025/08/software-adobe-windows-arm.jpg "Adobe porta nativamente Premiere Pro, After Effects, Audition e Media Encoder su Windows ARM")
/https://www.ilsoftware.it/app/uploads/2024/11/Apple-Music.jpg "Apple Music celebra 10 anni regalando una playlist speciale agli utenti")
/https://www.ilsoftware.it/app/uploads/2025/06/hikvision-deve-chiudere-in-canada.jpg "Canada ordina la chiusura di Hikvision per motivi di sicurezza nazionale")