Vulnerabilities ›

CVE-2020-36922

High ⚡ Exploit Available

Sony BRAVIA Digital Signage API Information Disclosure Vulnerability (CVE-2020-36922)

CWE-497 — Weakness Type

                    Published: Jan 6, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

Sony BRAVIA Digital Signage 1.7.8 contains an information disclosure vulnerability that allows unauthenticated attackers to access sensitive system details through API endpoints. Attackers can retrieve network interface information, server configurations, and system metadata by sending requests to the exposed system API.

🤖 AI Executive Summary

Sony BRAVIA Digital Signage version 1.7.8 contains a critical information disclosure vulnerability (CWE-497) that allows unauthenticated remote attackers to access sensitive system information through exposed API endpoints. Attackers can retrieve network configurations, server details, and system metadata without authentication, with active exploits available and no official patch released.

📄 Description (Arabic)

تتيح هذه الثغرة الأمنية من نوع CWE-497 للمهاجمين غير المصادق عليهم الوصول إلى معلومات حساسة عن النظام من خلال نقاط نهاية واجهة برمجة التطبيقات المكشوفة في نظام سوني BRAVIA للعروض الرقمية. يمكن للمهاجمين استخراج معلومات واجهات الشبكة وإعدادات الخادم والبيانات الوصفية للنظام دون الحاجة إلى بيانات اعتماد. تشكل هذه الثغرة خطراً كبيراً حيث يمكن استخدام المعلومات المكشوفة في التخطيط لهجمات أكثر تعقيداً على البنية التحتية. مع وجود استغلالات متاحة وعدم توفر تصحيح رسمي، تظل الأنظمة المتأثرة عرضة للاستغلال الفوري.

🤖 ملخص تنفيذي (AI)

يحتوي نظام سوني BRAVIA للعروض الرقمية الإصدار 1.7.8 على ثغرة حرجة للكشف عن المعلومات تسمح للمهاجمين عن بُعد بدون مصادقة بالوصول إلى معلومات النظام الحساسة من خلال نقاط نهاية واجهة برمجة التطبيقات المكشوفة. يمكن للمهاجمين استرجاع إعدادات الشبكة وتفاصيل الخادم والبيانات الوصفية للنظام بدون مصادقة، مع توفر استغلالات نشطة وعدم إصدار تصحيح رسمي.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 07:39

🇸🇦 Saudi Arabia Impact Assessment

Organizations in Saudi Arabia using Sony BRAVIA Digital Signage systems for corporate communications, retail displays, or public information systems face immediate risk of reconnaissance attacks. The exposed system information can be leveraged by threat actors to map network infrastructure and plan targeted attacks against critical sectors including retail, hospitality, transportation hubs, and government facilities utilizing these display systems.

🏢 Affected Saudi Sectors

قطاع التجزئة والتسوق قطاع الضيافة والفنادق قطاع النقل والمواصلات القطاع الحكومي قطاع التعليم قطاع الرعاية الصحية قطاع الاتصالات وتقنية المعلومات

🎯 MITRE ATT&CK Techniques

T1590.001 T1590.005 T1592.002 T1595.002 T1046

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately isolate all Sony BRAVIA Digital Signage systems from public networks and implement network segmentation with strict firewall rules allowing only authorized management traffic from trusted IP ranges.

2. Deploy Web Application Firewall (WAF) or reverse proxy solutions to filter and monitor API endpoint access, blocking unauthorized requests to system information endpoints while logging all access attempts for security monitoring.

3. Contact Sony support for security updates and implement compensating controls including disabling unnecessary API endpoints, enforcing strong authentication mechanisms, and conducting regular vulnerability assessments until an official patch becomes available.

🔧 خطوات المعالجة (العربية)

1. عزل جميع أنظمة سوني BRAVIA للعروض الرقمية فوراً عن الشبكات العامة وتطبيق تجزئة الشبكة مع قواعد جدار حماية صارمة تسمح فقط بحركة الإدارة المصرح بها من نطاقات عناوين IP الموثوقة.

2. نشر جدار حماية تطبيقات الويب أو حلول الوكيل العكسي لتصفية ومراقبة الوصول إلى نقاط نهاية واجهة برمجة التطبيقات، وحظر الطلبات غير المصرح بها إلى نقاط نهاية معلومات النظام مع تسجيل جميع محاولات الوصول للمراقبة الأمنية.

3. الاتصال بدعم سوني للحصول على التحديثات الأمنية وتطبيق الضوابط التعويضية بما في ذلك تعطيل نقاط نهاية واجهة برمجة التطبيقات غير الضرورية وفرض آليات مصادقة قوية وإجراء تقييمات منتظمة للثغرات حتى يصبح التصحيح الرسمي متاحاً.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 (Network Security) ECC-2-1 (Access Control) ECC-3-1 (Vulnerability Management) ECC-4-2 (Security Monitoring)

🔵 SAMA CSF

SAMA-CCC-4.1 (Network Segmentation) SAMA-CCC-5.2 (Access Control) SAMA-CCC-6.3 (Vulnerability Management) SAMA-CCC-8.1 (Security Monitoring)

🟡 ISO 27001:2022

A.13.1.3 (Segregation in networks) A.9.1.2 (Access to networks and network services) A.12.6.1 (Management of technical vulnerabilities) A.18.2.3 (Technical compliance review)

🔗 References & Sources 9

🔗

https://cxsecurity.com/issue/WLB-2020120028

disclosure@vulncheck.com

Third Party Advisory

🔗

https://exchange.xforce.ibmcloud.com/vulnerabilities/192606

disclosure@vulncheck.com

Third Party Advisory

🔗

https://packetstorm.news/files/id/160343

disclosure@vulncheck.com

Third Party Advisory

🔗

https://pro-bravia.sony.net

disclosure@vulncheck.com

Product

🔗

https://pro-bravia.sony.net/resources/software/bravia-signage/

disclosure@vulncheck.com

Product

🔗

https://pro.sony/ue_US/products/display-software

disclosure@vulncheck.com

Product

🔗

https://www.exploit-db.com/exploits/49187

disclosure@vulncheck.com

Exploit Third Party Advisory VDB Entry

🔗

https://www.vulncheck.com/advisories/sony-bravia-digital-signage-unauthenticated-system...

disclosure@vulncheck.com

Third Party Advisory

🔗

https://www.zeroscience.mk/en/vulnerabilities/ZSL-2020-5610.php

disclosure@vulncheck.com

Exploit Third Party Advisory

📦 Affected Products / CPE 1 entries

sony:bravia_signage

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-497

EPSS0.13%

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-01-06

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

exploit-available CWE-497

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2020-36922

Introduce Yourself

Sign In Required