Уязвимость BDU:2024-03193

Уязвимость BDU:2024-03193

Идентификатор: BDU:2024-03193.

Наименование уязвимости: Уязвимость службы com.webos.service.connectionmanager/tv/setVlanStaticAddress операционной системы LG WebOS для телевизоров LG, позволяющая нарушителю выполнять произвольные команды от имени пользователя dbus.

Описание уязвимости: Уязвимость службы com.webos.service.connectionmanager/tv/setVlanStaticAddress операционной системы LG WebOS для телевизоров LG существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды от имени пользователя dbus с помощью специально созданных запросов
Уязвимое ПО: Операционная система LG Electronics WebOS от 4.9.7 до 5.30.40 включительно | Операционная система LG Electronics WebOS от 04.50.51 до 5.5.0 включительно | Операционная система LG Electronics WebOS от 0.36.50 до 6.3.3-442 включительно | Операционная система LG Electronics WebOS от 03.33.85 до 7.3.1-43 включительно |

Наименование ОС и тип аппаратной платформы: WebOS от 497 до 53040 включительно LG43UM7000PLA | WebOS от 045051 до 550 включительно OLED55CXPUA | WebOS от 03650 до 633-442 включительно OLED48C1PUB | WebOS от 033385 до 731-43 включительно OLED55A23LA |
Дата выявления: 01.11.2023.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению:
Обновление операционной системы до актуальной версии

Компенсирующие меры:
— ограничить доступ к устройству по портам 3000/3001
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-6320.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://lgsecurity.lge.com/bulletins/tv#updateDetails
https://www.bitdefender.com/blog/labs/vulnerabilities-identified-in-lg-webos/
https://www.broadcasting.ru/news/90-000-televizorov-lg-soderzhat-neskolko-uyazvimostey#:~:text=CVE-2023-6318%3A%20повышение,произведений%20(оценка%20CVSS%209.1)%3B
https://xakep.ru/2024/04/10/lg-tv-root/
https://bitdefender.com/blog/labs/vulnerabilities-identified-in-lg-webos/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: