Pesquisadores descobriram vulnerabilidades críticas nos televisores inteligentes LG que executam o webOS, permitindo a atores de ameaças contornar a autorização e obter acesso root aos dispositivos. As falhas, identificadas pela firma de cibersegurança romena Bitdefender em novembro de 2023, foram corrigidas pela LG em atualizações lançadas em 22 de março de 2024.

As vulnerabilidades, rastreadas de CVE-2023-6317 a CVE-2023-6320, afetam várias versões do webOS em modelos específicos de TVs LG. A CVE-2023-6317 permite que um atacante contorne a verificação do PIN e adicione um perfil de usuário privilegiado ao televisor sem interação do usuário.

A CVE-2023-6318 possibilita que o atacante eleve seus privilégios e obtenha controle total do dispositivo. A CVE-2023-6319 permite a injeção de comandos no sistema operacional manipulando uma biblioteca usada para exibir letras de músicas.

A CVE-2023-6320 permite a injeção de comandos autenticados manipulando o endpoint da API com.webos.service.connectionmanager/tv/setVlanStaticAddress. A exploração bem-sucedida dessas falhas pode permitir que um atacante obtenha permissões elevadas no dispositivo, que podem ser combinadas com outras CVEs para obter acesso root ou executar comandos arbitrários como o usuário dbus.

Apesar de os serviços vulneráveis serem destinados apenas ao acesso LAN, mais de 91.000 dispositivos que expõem esse serviço à internet foram identificados pelo Shodan, um motor de busca para dispositivos conectados à internet.