الثغرات ›

CVE-2020-36917

مرتفع

ثغرة نقل بيانات الاعتماد بنص واضح في نظام iDS6 DSSPro للافتات الرقمية

CWE-319 — نوع الضعف

                    نُشر: Jan 6, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

iDS6 DSSPro Digital Signage System 6.2 contains a sensitive information disclosure vulnerability that allows remote attackers to intercept authentication credentials through cleartext cookie transmission. Attackers can exploit the autoSave feature to capture user passwords during man-in-the-middle attacks on HTTP communications.

🤖 ملخص AI

iDS6 DSSPro Digital Signage System 6.2 transmits authentication credentials in cleartext via HTTP cookies, enabling attackers to intercept passwords through man-in-the-middle attacks. The autoSave feature exacerbates the vulnerability by storing sensitive credentials without encryption. Organizations using this system face significant credential theft risks.

📄 الوصف (العربية)

تسمح هذه الثغرة الأمنية للمهاجمين عن بُعد باعتراض بيانات اعتماد المصادقة من خلال نقل ملفات تعريف الارتباط بنص واضح عبر بروتوكول HTTP غير المشفر. يمكن للمهاجمين استغلال ميزة الحفظ التلقائي (autoSave) لالتقاط كلمات مرور المستخدمين أثناء هجمات الوسيط على الاتصالات. تصنف الثغرة ضمن CWE-319 المتعلقة بنقل المعلومات الحساسة بنص واضح، مما يعرض أنظمة اللافتات الرقمية للاختراق الكامل. يؤثر هذا الضعف على سرية بيانات المصادقة ويمكن أن يؤدي إلى وصول غير مصرح به للأنظمة الحيوية.

🤖 ملخص تنفيذي (AI)

يقوم نظام iDS6 DSSPro للافتات الرقمية الإصدار 6.2 بنقل بيانات اعتماد المصادقة بنص واضح عبر ملفات تعريف الارتباط HTTP، مما يمكّن المهاجمين من اعتراض كلمات المرور من خلال هجمات الوسيط. تزيد ميزة الحفظ التلقائي من خطورة الثغرة بتخزين بيانات الاعتماد الحساسة دون تشفير. تواجه المؤسسات المستخدمة لهذا النظام مخاطر كبيرة لسرقة بيانات الاعتماد.

🤖 التحليل الذكي آخر تحليل: Feb 28, 2026 07:38

🇸🇦 التأثير على المملكة العربية السعودية

Saudi organizations using iDS6 DSSPro for digital signage in retail, hospitality, and public sectors face credential theft risks, potentially leading to unauthorized system access and data breaches. This violates NCA ECC encryption requirements and SAMA CSF controls for secure authentication transmission.

🏢 القطاعات السعودية المتأثرة

قطاع التجزئة والتسوق قطاع الضيافة والفنادق قطاع النقل والمواصلات القطاع الحكومي قطاع التعليم قطاع الرعاية الصحية

🎯 تقنيات MITRE ATT&CK

T1040 T1557 T1557.001 T1552.001 T1078

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately disable HTTP access and enforce HTTPS/TLS 1.2+ for all DSSPro communications with valid certificates to encrypt credential transmission

2. Disable or reconfigure the autoSave feature to prevent cleartext password storage, implementing secure credential management with hashed storage

3. Deploy network segmentation to isolate digital signage systems and implement monitoring for man-in-the-middle attack indicators on management interfaces

🔧 خطوات المعالجة (العربية)

1. إيقاف الوصول عبر HTTP فوراً وفرض استخدام HTTPS/TLS 1.2 أو أحدث لجميع اتصالات DSSPro مع شهادات صالحة لتشفير نقل بيانات الاعتماد

2. تعطيل أو إعادة تكوين ميزة الحفظ التلقائي لمنع تخزين كلمات المرور بنص واضح، وتطبيق إدارة آمنة لبيانات الاعتماد مع التخزين المشفر

3. نشر تقسيم الشبكة لعزل أنظمة اللافتات الرقمية وتطبيق المراقبة لاكتشاف مؤشرات هجمات الوسيط على واجهات الإدارة

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC-1-1 (Cryptographic Controls) ECC-2-1 (Secure Authentication) ECC-3-1 (Network Security) ECC-5-1 (Data Protection)

🔵 SAMA CSF

CCC-1.1 (Cryptographic Controls) IAM-1.2 (Authentication Management) NET-1.3 (Network Encryption) DPR-1.1 (Data in Transit Protection)

🟡 ISO 27001:2022

A.10.1.1 (Cryptographic Controls) A.9.4.1 (Information Access Restriction) A.13.1.1 (Network Controls) A.14.1.2 (Securing Application Services)

🔗 المراجع والمصادر 6

🔗

https://cxsecurity.com/issue/WLB-2020110023

disclosure@vulncheck.com

🔗

https://exchange.xforce.ibmcloud.com/vulnerabilities/191261

disclosure@vulncheck.com

🔗

https://packetstormsecurity.com/files/159915

disclosure@vulncheck.com

🔗

https://web.archive.org/web/20200919100215/http://www.yerootech.com/

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/ids-dsspro-digital-signage-system-cleartext-passwo...

disclosure@vulncheck.com

🔗

https://www.zeroscience.mk/en/vulnerabilities/ZSL-2020-5605.php

disclosure@vulncheck.com

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-319

EPSS0.07%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-06

المصدر nvd

المشاهدات 4

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-319

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2020-36917

انضم إلى سيزو للاستشارات

عرّفنا بنفسك

تسجيل الدخول مطلوب