據(jù)報道，網(wǎng)絡(luò)安全廠商 Bitdefender近期發(fā)現(xiàn)LG多款智能電視，包括LG43UM7000PLA、OLED55CXPUA、OLED48C1PUB及OLED55A23LA等系列，均搭載的WebOS版本中的四個漏洞，可能導(dǎo)致黑客未經(jīng)授權(quán)遠程操控電視。

該漏洞利用了3000/3001端口上運行的服務(wù)，主要為智能手機提供PIN接入功能。Bitdefender指出，雖然這些漏洞應(yīng)僅限局域網(wǎng)使用，但Shodan掃描顯示，約有91000臺潛在易受攻擊的LG設(shè)備。

具體而言，這四個漏洞分別包括：

1. CVE-2023-6317可使攻擊者在未經(jīng)許可的情況下，借助變量設(shè)置繞過電視的授權(quán)機制，增加額外用戶。

2. CVE-2023-6318是一種權(quán)限提升漏洞，能使攻擊者在不需認證的情況下獲取root用戶權(quán)限。

3. CVE-2023-6319可通過篡改播放歌詞程序來執(zhí)行指令注入，讓攻擊者執(zhí)行任意指令。

4. CVE-2023-6320則使用com.webos.service.connectionmanager/tv/setVlanStaticAddress API接口實現(xiàn)驗證命令注入，使攻擊者能以和root用戶同等的權(quán)限執(zhí)行命令。

目前，LG已于2023年11月1日收到Bitdefender的調(diào)查結(jié)果，并已在去年底開始修復(fù)，相關(guān)更新已于今年3月22日相繼推送給消費者。建議消費者前往電視“設(shè)置”頁“支持”處，選擇“軟件更新”進行檢查更新。