CVE-2020-4792 [中] | XSS（Edge Application Manager）

IBM Edge 4.2 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 189441.

#	日期	旧 EPSS 分数	新 EPSS 分数	变化（新 − 旧）
1	2026-06-15	0.14%	0.50%	+0.36%
2	2025-11-21	0.18%	0.14%	-0.04%
3	2025-11-18	—	0.18%	—

日期

旧 EPSS 分数

新 EPSS 分数

变化（新 − 旧）

2026-06-15

0.14%

0.50%

+0.36%

2025-11-21

0.18%

0.14%

-0.04%

2025-11-18

—

0.18%

—

底座分	版本	严重度	向量	可利用性	影响	分数来源
5.4	3.1	MEDIUM	`CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N` 点击展开攻击向量 (AV:N) 经互联网或企业内可路由网段即可从远端触达，攻击者不必出现在设备旁。攻击复杂度 (AC:L) 前置条件清晰，成功路径稳定，不依赖罕见竞态或苛刻环境。权限要求 (PR:L) 一般用户权限即可，不必是管理员或 root。用户交互 (UI:R) 需要一次明确的用户动作（安装、改配置、打开恶意文档等）才会落地。作用域 (S:C) 可从脆弱组件横向波及其他组件或更高权限域，爆炸半径更大。机密性影响 (C:L) 可能外泄部分字段或样本数据，但难以形成“整库拖走”的局面。完整性影响 (I:L) 能改局部记录或配置，但尚不致让整站／整库数据整体不可信。可用性影响 (A:N) 不至于造成业务意义上的长时间停摆或灾难性性能崩塌。	2.3	2.7	[email protected]
5.4	3.0	MEDIUM	`CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N` 点击展开攻击向量 (AV:N) 经互联网或企业内可路由网段即可从远端触达，攻击者不必出现在设备旁。攻击复杂度 (AC:L) 前置条件清晰，成功路径稳定，不依赖罕见竞态或苛刻环境。权限要求 (PR:L) 一般用户权限即可，不必是管理员或 root。用户交互 (UI:R) 需要一次明确的用户动作（安装、改配置、打开恶意文档等）才会落地。作用域 (S:C) 可从脆弱组件横向波及其他组件或更高权限域，爆炸半径更大。机密性影响 (C:L) 可能外泄部分字段或样本数据，但难以形成“整库拖走”的局面。完整性影响 (I:L) 能改局部记录或配置，但尚不致让整站／整库数据整体不可信。可用性影响 (A:N) 不至于造成业务意义上的长时间停摆或灾难性性能崩塌。	2.3	2.7	[email protected]
3.5	2.0	LOW	`AV:N/AC:M/Au:S/C:N/I:P/A:N` 点击展开访问路径 (AV:N) 只要路由可达，即可从远端发起利用。访问复杂度 (AC:M) 需要若干有利条件，但不至于“千年一遇”。认证 (AU:S) 突破一次认证边界即可。机密性影响 (C:N) 对机密性无影响。完整性影响 (I:P) 完整性受到部分损害。可用性影响 (A:N) 对可用性无影响。	6.8	2.9	[email protected]

底座分

版本

严重度

向量

可利用性

影响

分数来源

5.4

3.1

MEDIUM

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 点击展开

攻击向量 (AV:N): 经互联网或企业内可路由网段即可从远端触达，攻击者不必出现在设备旁。
攻击复杂度 (AC:L): 前置条件清晰，成功路径稳定，不依赖罕见竞态或苛刻环境。
权限要求 (PR:L): 一般用户权限即可，不必是管理员或 root。
用户交互 (UI:R): 需要一次明确的用户动作（安装、改配置、打开恶意文档等）才会落地。
作用域 (S:C): 可从脆弱组件横向波及其他组件或更高权限域，爆炸半径更大。
机密性影响 (C:L): 可能外泄部分字段或样本数据，但难以形成“整库拖走”的局面。
完整性影响 (I:L): 能改局部记录或配置，但尚不致让整站／整库数据整体不可信。
可用性影响 (A:N): 不至于造成业务意义上的长时间停摆或灾难性性能崩塌。

2.3

2.7

[email protected]

5.4

3.0

MEDIUM

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 点击展开

攻击向量 (AV:N): 经互联网或企业内可路由网段即可从远端触达，攻击者不必出现在设备旁。
攻击复杂度 (AC:L): 前置条件清晰，成功路径稳定，不依赖罕见竞态或苛刻环境。
权限要求 (PR:L): 一般用户权限即可，不必是管理员或 root。
用户交互 (UI:R): 需要一次明确的用户动作（安装、改配置、打开恶意文档等）才会落地。
作用域 (S:C): 可从脆弱组件横向波及其他组件或更高权限域，爆炸半径更大。
机密性影响 (C:L): 可能外泄部分字段或样本数据，但难以形成“整库拖走”的局面。
完整性影响 (I:L): 能改局部记录或配置，但尚不致让整站／整库数据整体不可信。
可用性影响 (A:N): 不至于造成业务意义上的长时间停摆或灾难性性能崩塌。

2.3

2.7

[email protected]

3.5

2.0

LOW

AV:N/AC:M/Au:S/C:N/I:P/A:N 点击展开

访问路径 (AV:N): 只要路由可达，即可从远端发起利用。
访问复杂度 (AC:M): 需要若干有利条件，但不至于“千年一遇”。
认证 (AU:S): 突破一次认证边界即可。
机密性影响 (C:N): 对机密性无影响。
完整性影响 (I:P): 完整性受到部分损害。
可用性影响 (A:N): 对可用性无影响。

6.8

2.9

[email protected]

CVE-2020-4792 的影响软件 / 配置

厂商	产品	版本	原始 CPE
ibm	edge_application_manager	4.2	cpe:2.3:a:ibm:edge_application_manager:4.2:::::::*

CVE-2020-4792 的参考链接

URL	标签
https://exchange.xforce.ibmcloud.com/vulnerabilities/189441	VDB Entry Vendor Advisory
https://www.ibm.com/support/pages/node/6439819	Patch Vendor Advisory

URL

标签

https://exchange.xforce.ibmcloud.com/vulnerabilities/189441

VDB Entry Vendor Advisory

https://www.ibm.com/support/pages/node/6439819

Patch Vendor Advisory

CVE-2020-4792

CVE-2020-4792 的 EPSS（利用预测评分）

CVE-2020-4792 的 CVSS 指标

CVE-2020-4792 的弱点枚举

CVE-2020-4792 的影响软件 / 配置

CVE-2020-4792 的参考链接