CVE-2023-6319 — 神龙十问 AI 深度分析摘要

🚨 **本质**：LG webOS 智能电视存在 **OS命令注入** 漏洞。 💥 **后果**：攻击者可执行任意系统命令，彻底 **接管设备**，获取 Root 权限。

🔍 **CWE**：CWE-78 (OS命令注入)。 📍 **缺陷点**：`com.webos.service.attachedstoragemanager` 服务的 `getAudioMetadata` 方法未正确过滤输入。

📺 **产品**：LG webOS 智能电视。 📅 **版本**： - 4.9.7 - 5.30.40 - 5.5.0 - 04.50.51 - 6.3.3-442 - 03.36.50 - 7.3.1-43 - 03.33.85

👑 **权限**：直接获得 **Root** 权限。 📂 **数据**：可完全控制电视文件系统，窃取数据或植入恶意软件。

🔐 **门槛**：中等。 ⚠️ **条件**：需要 **PR:H** (高权限/认证)，即攻击者需先获得电视的访问权限（如本地网络或已登录账号）。

💻 **PoC**：有！GitHub 上有 `root-my-webos-tv` 脚本。 🚀 **效果**：一键启动 Telnet 服务，直接以 Root 身份控制电视。

🔎 **自查**： 1. 检查电视系统版本是否在受影响列表。 2. 扫描 `getAudioMetadata` 接口是否存在注入特征。 3. 使用相关 PoC 脚本测试连通性。

🛡️ **官方**：LG 已发布安全公告。 🔧 **修复**：建议用户立即前往 LG 官网或电视设置中 **更新系统固件** 至最新版本。

⚠️ **临时**： - 断开电视与不可信网络的连接。 - 限制电视的本地网络访问权限。 - 避免在电视上执行不明来源的操作。

🔥 **优先级**：**高**。 💡 **建议**：虽然需要认证，但一旦利用即可 **Root**，危害极大。建议 **立即更新** 固件，尤其是家庭或企业环境中的电视。