CVE-2023-6320 — 神龙十问 AI 深度分析摘要

🚨 **本质**：LG webOS 电视存在 **命令注入漏洞**。 🔥 **后果**：攻击者可执行任意系统命令，导致设备被完全控制，隐私泄露或服务中断。

🔍 **CWE**：CWE-78 (OS Command Injection)。 📍 **缺陷点**：`om.webos.service.connectionmanager/tv/setVlasticAddress` 端点未对用户输入进行充分过滤，直接拼接执行。

📺 **厂商**：LG (乐金)。 📦 **产品**：webOS 智能电视。 📅 **受影响版本**： - webOS 5.5.0 至 04.50.51 - 6.3.3-442 (kisscurl-kinglake) 至 03.36.50

👑 **权限**：高权限（系统级）。 💾 **数据**：可读取/篡改系统数据、窃取用户隐私、控制电视功能。 🌐 **范围**：CVSS评分高，影响完整性、机密性和可用性。

🔐 **门槛**：中等偏高。 ⚠️ **要求**：需要 **PR:H** (High Privileges)，即攻击者需具备一定认证权限或网络访问权限才能触发注入。

📜 **Exp**：当前数据中 **无公开 PoC** (pocs: [])。 🌍 **在野**：暂无明确在野利用报告，但需警惕后续出现。

🔎 **自查**：检查电视系统版本是否在上述 **受影响列表** 内。 📡 **扫描**：针对 `setVlasticAddress` 接口进行模糊测试或特征匹配（需专业工具）。

🛡️ **官方**：LG 已发布安全公告 (lgsecurity.lge.com)。 ✅ **修复**：建议用户前往官方渠道检查并安装 **最新固件更新**。

🚧 **临时规避**： 1. 断开非必要网络连接。 2. 限制对电视管理接口的访问。 3. 尽快升级至 **非受影响版本**。

⚡ **优先级**：**高**。 💡 **建议**：虽然需要认证，但CVSS分数极高（H/I/H/A），一旦突破后果严重。建议 **立即检查版本并更新**。