據報道，網絡安全廠商 Bitdefender近期發現LG多款智能電視，包括LG43UM7000PLA、OLED55CXPUA、OLED48C1PUB及OLED55A23LA等系列，均搭載的WebOS版本中的四個漏洞，可能導致黑客未經授權遠程操控電視。

該漏洞利用了3000/3001端口上運行的服務，主要為智能手機提供PIN接入功能。Bitdefender指出，雖然這些漏洞應僅限局域網使用，但Shodan掃描顯示，約有91000臺潛在易受攻擊的LG設備。

具體而言，這四個漏洞分別包括：

1. CVE-2023-6317可使攻擊者在未經許可的情況下，借助變量設置繞過電視的授權機制，增加額外用戶。

2. CVE-2023-6318是一種權限提升漏洞，能使攻擊者在不需認證的情況下獲取root用戶權限。

3. CVE-2023-6319可通過篡改播放歌詞程序來執行指令注入，讓攻擊者執行任意指令。

4. CVE-2023-6320則使用com.webos.service.connectionmanager/tv/setVlanStaticAddress API接口實現驗證命令注入，使攻擊者能以和root用戶同等的權限執行命令。

目前，LG已于2023年11月1日收到Bitdefender的調查結果，并已在去年底開始修復，相關更新已于今年3月22日相繼推送給消費者。建議消費者前往電視“設置”頁“支持”處，選擇“軟件更新”進行檢查更新。