Múltiples vulnerabilidades en productos LG WebOS
Versiones de webOS:
- 4.9.7 - 5.30.40 ejecutándose en LG43UM7000PLA;
- 5.5.0 - 04.50.51 ejecutándose en OLED55CXPUA;
- 6.3.3-442 (kisscurl-kinglake) - 03.36.50 ejecutándose en OLED48C1PUB;
- 7.3.1-43 (mullet-mebin) - 03.33.85 ejecutándose en OLED55A23LA.
Investigadores de Bitdefender han descubierto 4 vulnerabilidades, 3 de severidad crítica y 1 alta, que afectan al sistema operativo webOS integrado en varios dispositivos Smart TV del fabricante LG. Estas vulnerabilidades podrían permitir a un atacante obtener acceso root en el televisor tras eludir el mecanismo de autorización.
Estas vulnerabilidades, descubiertas a principios de noviembre de 2023, ya se han corregido con el lanzamiento de un parche de seguridad por parte del fabricante. Por tanto, se recomienda a los usuarios de los dispositivos afectados asegurarse de que están ejecutando la última versión disponible de WebOS.
Las 3 vulnerabilidades críticas se describen a continuación:
- Vulnerabilidad de inyección de comandos en el método processAnalyticsReport del servicio com.webos.service.cloudupload de webOS. Unas peticiones maliciosas podrían permitir la ejecución de comandos como usuario root. Se ha asignado el identificador CVE-2023-6318 para esta vulnerabilidad.
- Vulnerabilidad de inyección de comandos en el método getAudioMetadata del servicio com.webos.service.attachedstoragemanager de webOS. Unas peticiones maliciosas podrían permitir la ejecución de comandos como usuario root. Se ha asignado el identificador CVE-2023-6319 para esta vulnerabilidad.
- Vulnerabilidad de inyección de comandos en el endpoint com.webos.service.connectionmanager/tv/setVlanStaticAddress de webOS. Unas peticiones maliciosas podrían permitir la ejecución de comandos como usuario dbus. Se ha asignado el identificador CVE-2023-6320 para esta vulnerabilidad.
La vulnerabilidad de severidad alta tiene asignado el identificador CVE-2023-6317.
