CVE-2020-36923 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:不安全的直接对象引用 (IDOR)。 💥 **后果**:绕过授权控制,直接访问隐藏的系统资源。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-639。 📍 **缺陷点**:客户端保护机制被绕过,未正确验证对象访问权限。
Q3影响谁?(版本/组件)
🏢 **厂商**:Sony Electronics Inc. 📺 **产品**:Sony BRAVIA Digital Signage。 📦 **版本**:1.7.8 版本受影响。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**:无需授权即可访问敏感数据。 📊 **数据风险**:机密性、完整性、可用性均面临高风险 (C:H/I:H/A:H)。
Q5利用门槛高吗?(认证/配置)
📉 **门槛**:极低。 🔑 **条件**:网络可达 (AV:N),无需认证 (PR:N),无需用户交互 (UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
📂 **Exp状态**:Packet Storm 有归档文件。 ⚠️ **注意**:官方未发布补丁,目前无明确在野利用报告,但存在利用素材。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**:扫描目标是否运行 Sony BRAVIA Digital Signage 1.7.8。 🌐 **特征**:访问 `/pro-bravia.sony.net` 相关服务接口,测试 IDOR 路径。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁情况**:数据中未提及官方已发布修复补丁。 📅 **时间**:2026-01-06 发布,需关注官方资源页面更新。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:限制网络访问,仅允许受信任 IP 连接。 🔒 **策略**:部署 WAF 规则拦截异常 IDOR 请求,加强访问控制列表。
Q10急不急?(优先级建议)
🔥 **优先级**:高。 ⚡ **理由**:CVSS 评分高,无需认证即可利用,直接导致系统资源泄露,建议立即隔离或加固。