Vulnerabilities ›

CVE-2020-36910

High

Cayin Signage Media Player 3.0 Authenticated Remote Command Injection Vulnerability

CWE-78 — Weakness Type

                    Published: Jan 6, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

Cayin Signage Media Player 3.0 contains an authenticated remote command injection vulnerability in system.cgi and wizard_system.cgi pages. Attackers can exploit the 'NTP_Server_IP' parameter with default credentials to execute arbitrary shell commands as root.

🤖 AI Executive Summary

Cayin Signage Media Player 3.0 contains an authenticated remote command injection vulnerability in system.cgi and wizard_system.cgi that allows attackers to execute arbitrary shell commands as root using the 'NTP_Server_IP' parameter. Exploitation requires default credentials, making it a critical risk for organizations using default configurations.

📄 Description (Arabic)

تحتوي نسخة 3.0 من Cayin Signage Media Player على ثغرة حقن أوامر بعيدة في واجهات الويب الإدارية. يمكن للمهاجمين الذين لديهم معرفة بالبيانات الاعتماد الافتراضية استغلال معامل 'NTP_Server_IP' لتنفيذ أوامر تعسفية بامتيازات الجذر. هذا يسمح بالسيطرة الكاملة على الجهاز وقد يؤدي إلى انتشار الهجوم عبر البنية التحتية.

🤖 ملخص تنفيذي (AI)

يحتوي Cayin Signage Media Player 3.0 على ثغرة حقن أوامر بعيدة مصرح بها في صفحات system.cgi و wizard_system.cgi تسمح للمهاجمين بتنفيذ أوامر shell عشوائية كمسؤول جذر. يتطلب الاستغلال بيانات اعتماد افتراضية، مما يجعله خطراً حرجاً للمنظمات التي تستخدم التكوينات الافتراضية.

🤖 AI Intelligence Analysis Analyzed: May 1, 2026 10:17

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1078 T1059

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Immediately change default credentials for all Cayin Signage Media Player instances. Update to the latest patched version if available. Implement network segmentation to restrict access to system.cgi and wizard_system.cgi pages. Disable or restrict NTP server configuration functionality if not required. Monitor system logs for suspicious command execution patterns.

🔧 خطوات المعالجة (العربية)

قم بتغيير بيانات الاعتماد الافتراضية فوراً لجميع مثيلات Cayin Signage Media Player. قم بالتحديث إلى أحدث إصدار مصحح إن أمكن. قم بتنفيذ تقسيم الشبكة لتقييد الوصول إلى صفحات system.cgi و wizard_system.cgi. قم بتعطيل أو تقييد وظيفة تكوين خادم NTP إذا لم تكن مطلوبة. راقب سجلات النظام للبحث عن أنماط تنفيذ أوامر مريبة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 SI-2

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.12.6.1

🔗 References & Sources 7

🔗

https://cxsecurity.com/issue/WLB-2020060049

disclosure@vulncheck.com

🔗

https://exchange.xforce.ibmcloud.com/vulnerabilities/182924

disclosure@vulncheck.com

🔗

https://packetstorm.news/files/id/157942

disclosure@vulncheck.com

🔗

https://www.cayintech.com

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/48557

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/cayin-signage-media-player-authenticated-remote-co...

disclosure@vulncheck.com

🔗

https://www.zeroscience.mk/en/vulnerabilities/ZSL-2020-5569.php

disclosure@vulncheck.com

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-78

EPSS0.40%

Exploit No

Patch ✓ Yes

Published 2026-01-06

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

CWE-78

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2020-36910

💬 Comments

Introduce Yourself

Sign In Required