Vulnerabilities ›

CVE-2020-36914

High

QiHang Media Web Digital Signage Cleartext Credential Transmission Vulnerability

CWE-319 — Weakness Type

                    Published: Jan 6, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

QiHang Media Web Digital Signage 3.0.9 contains a sensitive information disclosure vulnerability that allows remote attackers to intercept user authentication credentials through cleartext cookie transmission. Attackers can perform man-in-the-middle attacks to capture and potentially misuse stored authentication credentials transmitted in an insecure manner.

🤖 AI Executive Summary

QiHang Media Web Digital Signage 3.0.9 transmits authentication credentials in cleartext through cookies, enabling attackers to intercept user credentials via man-in-the-middle attacks. This CWE-319 vulnerability allows unauthorized access to authentication data without encryption protection.

📄 Description (Arabic)

تتيح هذه الثغرة الأمنية للمهاجمين عن بُعد اعتراض بيانات اعتماد المصادقة من خلال نقل ملفات تعريف الارتباط بنص واضح دون تشفير. يمكن للمهاجمين تنفيذ هجمات الرجل في الوسط (MITM) للاستيلاء على بيانات الاعتماد المخزنة والمنقولة بطريقة غير آمنة. تشكل هذه الثغرة خطراً كبيراً على سرية البيانات وتكامل أنظمة المصادقة في المؤسسات التي تستخدم هذا النظام للافتات الرقمية. عدم وجود تشفير لبيانات الاعتماد يعرض الحسابات للاختراق والوصول غير المصرح به.

🤖 ملخص تنفيذي (AI)

يقوم نظام اللافتات الرقمية QiHang Media Web Digital Signage الإصدار 3.0.9 بنقل بيانات اعتماد المصادقة بنص واضح عبر ملفات تعريف الارتباط، مما يمكّن المهاجمين من اعتراض بيانات اعتماد المستخدمين عبر هجمات الوسيط. تسمح هذه الثغرة من نوع CWE-319 بالوصول غير المصرح به إلى بيانات المصادقة دون حماية التشفير.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 07:37

🇸🇦 Saudi Arabia Impact Assessment

Organizations in Saudi Arabia using QiHang Media digital signage systems face credential theft risks, particularly in retail, hospitality, and corporate environments where digital signage is prevalent. This violates NCA ECC cryptographic controls and SAMA CSF requirements for secure authentication transmission.

🏢 Affected Saudi Sectors

قطاع التجزئة والتسوق قطاع الضيافة والفنادق قطاع الشركات والمكاتب قطاع التعليم قطاع النقل والمواصلات قطاع الرعاية الصحية

🎯 MITRE ATT&CK Techniques

T1040 T1557 T1557.001 T1539 T1552.001

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately implement TLS/SSL encryption for all web communications and enforce HTTPS-only connections with HSTS headers to prevent cleartext transmission of authentication data

2. Configure secure cookie attributes including Secure flag, HttpOnly flag, and SameSite attribute to protect authentication cookies from interception and cross-site attacks

3. Deploy network segmentation and monitor for man-in-the-middle attack indicators, while evaluating migration to alternative digital signage solutions with proper security controls

🔧 خطوات المعالجة (العربية)

1. تنفيذ تشفير TLS/SSL فوراً لجميع الاتصالات عبر الويب وفرض اتصالات HTTPS فقط مع رؤوس HSTS لمنع نقل بيانات المصادقة بنص واضح

2. تكوين سمات ملفات تعريف الارتباط الآمنة بما في ذلك علامة Secure وعلامة HttpOnly وسمة SameSite لحماية ملفات تعريف ارتباط المصادقة من الاعتراض والهجمات عبر المواقع

3. نشر تجزئة الشبكة ومراقبة مؤشرات هجمات الرجل في الوسط، مع تقييم الانتقال إلى حلول بديلة للافتات الرقمية ذات ضوابط أمنية مناسبة

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

1-3-1 (Cryptographic Controls) 2-2-1 (Secure Authentication) 3-1-1 (Network Security) 4-1-1 (Data Protection)

🔵 SAMA CSF

CCC-01 (Cryptographic Controls) IAM-02 (Authentication Management) NET-01 (Network Security) DAR-01 (Data Protection)

🟡 ISO 27001:2022

A.10.1.1 (Cryptographic Controls) A.9.4.1 (Information Access Restriction) A.13.1.1 (Network Controls) A.9.2.1 (User Registration)

🔗 References & Sources 6

🔗

https://cxsecurity.com/issue/WLB-2020080059

disclosure@vulncheck.com

🔗

https://exchange.xforce.ibmcloud.com/vulnerabilities/186770

disclosure@vulncheck.com

🔗

https://packetstormsecurity.com/files/158858

disclosure@vulncheck.com

🔗

https://www.howfor.com/

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/qihang-media-web-digital-signage-cookie-authentica...

disclosure@vulncheck.com

🔗

https://www.zeroscience.mk/en/vulnerabilities/ZSL-2020-5578.php

disclosure@vulncheck.com

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-319

EPSS0.04%

Exploit No

Patch ✓ Yes

Published 2026-01-06

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-319

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2020-36914

Introduce Yourself

Sign In Required