CVSS評分維度

1、基本評價AccessVector攻擊途徑（AV）度量值說明Local本地（L）如果僅通過本地攻擊利用漏洞，攻擊者需對受攻擊系統(tǒng)進行物理攻擊或具備本地（shell/殼式）賬號。例如，外圍攻擊如火線、USBDMA攻擊、及本地權限升級（如sudo）。AdjacentNetwork鄰近網(wǎng)絡（A）如果通過鄰近網(wǎng)絡利用漏洞，攻擊者需對受攻擊軟件的廣播域或沖突域進行攻擊。例如，本地網(wǎng)絡包括本地IP子網(wǎng)、藍牙、IEEE802.11和本地以太網(wǎng)網(wǎng)段。Network遠程（N）如果通過遠程網(wǎng)絡利用漏洞，意味著受攻擊軟件綁定在遠程網(wǎng)絡堆棧上,攻擊者無需通過本地網(wǎng)絡攻擊或本地攻擊。此類漏洞通常被定義為（遠程利用漏洞）。

2、如RPC緩沖區(qū)溢出。AccessComplexity攻擊復雜度（AC）度量值說明High高（H）存在特定的攻擊條件，如：在多數(shù)配置中，攻擊方必須已經(jīng)具備提升的權限或哄騙受攻擊系統(tǒng)及附加系統(tǒng)。（如DNS劫持）對于通過社交工程進行的攻擊，專業(yè)人士可以輕松察覺。例如，受攻擊對象執(zhí)行可疑的或非典型行動?，F(xiàn)實中易受攻擊配置很少見。如果存在競態(tài)條件，則贏得競爭的可能很小。Medium中（M）存在部分特定的攻擊條件，例如：攻擊方限制在一定權限級別的一組系統(tǒng)或用戶，可能是不可信的。在進行成功的攻擊前，必須搜集一些信息。受攻擊配置非默認，非通用配置（如服務器通過特定的方式進行用戶賬戶驗證時，出現(xiàn)漏洞，但通過其他

3、驗證方式，不會出現(xiàn)此漏洞）攻擊需要少量的社交工程，可以偶爾欺騙嚴謹?shù)挠脩簦ㄈ缇W(wǎng)絡欺騙攻擊通過篡改瀏覽器的狀態(tài)欄顯示一個錯誤的鏈接,在發(fā)送IM利用前，存在某人的好友列表中）。Low低（L）不存在特定的攻擊條件或特殊情況，例如：受攻擊產(chǎn)品通常需要攻擊大范圍的系統(tǒng)和用戶，可能是匿名的或不受信任的（如面向互聯(lián)網(wǎng)的網(wǎng)絡或郵件服務器）受攻擊配置為默認的或普遍存在的?？梢允謩庸簦瑤缀醪灰笕魏渭夹g或搜集額外的信息。競態(tài)條件為惰性的（即技術上為競態(tài)，但贏得競爭的機會大）Authentication認證（Au）度量值說明Multiple多次認證（M）要利用漏洞，要求攻擊者驗證兩次以上，即使每次都使用相同的證書

4、。例如，攻擊者提供證書驗證，攻擊應用，同時要攻擊其操作系統(tǒng)，需要再次驗證。Single單次認證（S）攻擊和利用漏洞時，需要一次驗證。None無(N)攻擊和利用漏洞時，無需驗證。ConfidentialityImpact機密性影響(C)度量值說明None無影響（N）對系統(tǒng)的機密性無影響。Partial部分影響（P）有大量的信息泄露?？赡芄粢恍┫到y(tǒng)文件，但攻擊者對獲得的信息未取得控制或損失的范圍是有限的。例如，僅泄露數(shù)據(jù)庫中的某些表。Complete完全影響（C）全部信息泄露，導致整個系統(tǒng)文件泄露。攻擊者可以讀取所有系統(tǒng)數(shù)據(jù)（存儲、文件等）IntegrityImpact完整性影響(I)度量值說明

5、None無影響（N）對系統(tǒng)的完整性無影響。Partial部分影響（P）可能對一些系統(tǒng)文件或信息進行修改，但攻擊者未能對修改的文件或信息進行控制，或攻擊者影響的（文件）范圍有限。例如，系統(tǒng)或應用文件可能被重寫或修訂，但攻擊者可能對修改的文件未能控制，或攻擊者僅能在有限的情況或范圍下對文件進彳丁修改。Complete完全影響（C）完全影響系統(tǒng)的完整性。系統(tǒng)保護的完全損失，導致整個系統(tǒng)被影響。攻擊者可以對目標系統(tǒng)的任何文件進行修改。AvailabilityImpact可用性影響(A)度量值說明None無影響（N）對系統(tǒng)可用性無影響。Partial部分影響（P）降低性能或對資源可用性干擾。例如，基于網(wǎng)

6、絡的洪水式攻擊可以對互聯(lián)網(wǎng)服務的有限數(shù)量的成功連接。Complete完全影響（C）導致受攻擊資源的完全宕掉。攻擊者可以導致資源的完全不可用。TemporalMetrics生命周期/臨時評價Exploitability利用代碼(E)度量值說明Unproven未提供/驗證（U）無利用的代碼，或利用完全是理論上的。Proof-of-Concept概念驗證(POC)存在概念驗證利用代碼或對多數(shù)系統(tǒng)來說攻擊都是不現(xiàn)實的。在任何情況下，代碼或技術都是非功能性的，需要專業(yè)的攻擊者進行大量的實質性修改。Functional功能性代碼（F）存在功能性利用代碼。代碼在存在漏洞的多數(shù)情況下可用。High完整代碼（H

7、）通過功能性可移動自主代碼，或無需利用（手動觸發(fā)），細節(jié)廣泛可用。代碼在所有情況下可用，或通過可移動自主中介（如蠕蟲或病毒）主動傳送。NotDefined未定義(ND)分配此值給度量/維度標準不會影響分數(shù)。等冋于忽略此度量/維度標準。RemediationLevel修正措施(RL)度量值說明OfficialFix官方補丁(OF)具有完整的廠商方案。廠商發(fā)布官方補丁或升級。TemporaryFix臨時補丁(TF)存在官方但臨時的修正措施。其中包括廠商發(fā)布臨時熱修復補丁或臨時解決方案。Workaround臨時解決方案（W）存在非官方、非廠商的解決方案。有時，受攻擊系統(tǒng)的用戶會自己創(chuàng)立補丁、提供相關

8、的修正措施、或降低漏洞的影響。Unavailable不可用(U)無可用的方案，或方案無法實施。NotDefined未定義(ND)分配此值給度量/維度標準不會影響分數(shù)。等冋于忽略此度量/維度標準。ReportConfidence報告可信任度(RC)度量值說明Unconfirmed未確認(UC)存在單個未經(jīng)確認的來源，或多個沖突報告。報告的可信度很低。例如,來自黑客的謠言。Uncorroborated未經(jīng)證實的(UR)存在多個非官方來源，可能包括單獨的安全公司或科研機構?？赡艽嬖跊_突的技術細節(jié)信息或其他模糊性。Confirmed(C)確認的受攻擊技術的廠商承認的漏洞。如果通過外部事件，如功能性或概

9、念驗證利用代碼的發(fā)布或廣泛利用確認，該漏洞也稱為“確認的”漏洞。NotDefined未定義(ND)分配此值給度量/維度標準不會影響分數(shù)。等冋于忽略此度量/維度標準。EnvironmentalMetrics環(huán)境評價CollateralDamagePotential影響程度(CDP)度量值說明None無(N)不存在生命、物質財產(chǎn)、生產(chǎn)率或收入損失的可能性。Low低（L）成功利用漏洞會導致物質或財產(chǎn)的輕微損失?；蛘?，導致組織的收益或生產(chǎn)率的輕微損失。Low-Medium中低（LM）成功利用漏洞會導致物質或財產(chǎn)的中等損失。或者，導致組織的收益或生產(chǎn)率的中等損失。Medium-High中高（MH）成功利

10、用漏洞會導致物質或財產(chǎn)的嚴重損失?；蛘?，導致組織的收益或生產(chǎn)率的嚴重損失。High高（H）成功利用漏洞會導致物質或財產(chǎn)的災難性損失?；蛘?，導致組織的收益或生產(chǎn)率的災難性的損失。NotDefined未定義（ND）分配此值給度量/維度標準不會影響分數(shù)。等冋于忽略此度量/維度標準。TargetDistribution目標分布（TD）度量值說明None無（N）不存在目標系統(tǒng)，或者目標咼度專業(yè)化，僅存在實驗室設置中。0%的環(huán)境存在風險。Low低（L）目標存在環(huán)境中，但僅是一小部分。整個系統(tǒng)的1%-25%存在風險。Medium中（M）目標存在環(huán)境中，中等比例。整個系統(tǒng)的26%-75%存在風險。High高（

11、H）目標存在環(huán)境中，相當大比例。整個系統(tǒng)的76%-100%存在風險。NotDefined未定義（ND）分配此值給度量/維度標準不會影響分數(shù)。等冋于忽略此度量/維度標準。SecurityRequirements安全要求（CR,IR,AR）度量值說明Low低（L）（機密性、完整性、可用性）的損失可能對組織或該組織相關的個人（如員工、客戶）產(chǎn)生有限的負面影響。Medium中（M）機密性、完整性、可用性）的損失可能對組織或該組織相關的個人（如員工、客戶）產(chǎn)生嚴重的負面影響。High高（H）機密性、完整性、可用性）的損失可能對組織或該組織相關的個人（如員工、客戶）產(chǎn)生災難性的負面影響。NotDefined未定義（ND）分配此值給度量/維度標準不會影響分數(shù)。等冋于忽略此度量/維度標準。2.4.基本、臨時、環(huán)境評價度量值評價Base基本AV:L,A,N/A