CVSS(Common Vulnerability Scoring System,通用漏洞评分系统) 是国际通用的漏洞危害评估标准,由 FIRST 组织维护。CVSS 用于量化漏洞的严重程度,帮助安全团队、开发者和管理者快速判断漏洞优先级和修复紧急性。CVSS 评分已成为漏洞通报、CVE 公告、合规审计等安全流程的基础。
CVSS 通过一套标准化的指标体系,对漏洞的技术影响、利用难度和环境影响进行量化评分。评分结果为 0.0 ~ 10.0,分为低(0.1-3.9)、中(4.0-6.9)、高(7.0-8.9)、严重(9.0-10.0)四个等级。
CVSS 主要包括三个度量组:
评分流程通常以基础分为主,时间分和环境分可选。
| 指标 | 说明 | 选项 |
|---|---|---|
| 攻击向量(AV) | 攻击者可通过何种途径利用漏洞 | 网络(N)/邻域(A)/本地(L)/物理(P) |
| 攻击复杂度(AC) | 利用漏洞所需的复杂度 | 低(L)/高(H) |
| 权限要求(PR) | 利用漏洞前需具备的权限 | 无(N)/低(L)/高(H) |
| 用户交互(UI) | 是否需要用户参与 | 无(N)/需要(R) |
| 机密性影响(C) | 对数据保密性的影响 | 无(N)/低(L)/高(H) |
| 完整性影响(I) | 对数据完整性的影响 | 无(N)/低(L)/高(H) |
| 可用性影响(A) | 对服务可用性的影响 | 无(N)/低(L)/高(H) |
| 作用范围(Scope, S) | 是否影响到其他组件 | 未变更(U)/已变更(C) |
评分公式较为复杂,建议使用 CVSS Calculator。
| 指标 | 说明 | 选项 |
|---|---|---|
| 漏洞利用代码(E) | 利用代码是否公开 | 未知/概念/功能/高/未利用 |
| 修复措施(RL) | 是否有官方补丁 | 未知/官方修复/临时修复/无修复 |
| 报告可信度(RC) | 漏洞报告的可信度 | 未知/合理/已确认 |
| 指标 | 说明 | 选项 |
|---|---|---|
| 安全需求(CR/IR/AR) | 组织对机密性、完整性、可用性的需求 | 低/中/高 |
| 修正影响(MCR/MIR/MAR) | 组织环境下的实际影响 | 无/低/高 |
基础分通常为 9.8(严重)。
基础分通常为 7.8(高)。
| 工具/资源 | 说明 |
|---|---|
| CVSS Calculator | 官方在线评分计算器,支持 CVSS 3.1 |
| NVD | 美国国家漏洞数据库,所有漏洞均有 CVSS 分数 |
| CVE Details | 漏洞详情与 CVSS 分数查询 |
| FIRST CVSS 标准文档 | 官方标准与评分指南 |
| Nessus/Qualys/OpenVAS | 主流漏洞扫描器,自动集成 CVSS 评分 |
📝 作者:Luhaozhhhe
📧 邮箱:15058298819@163.com
🏫 单位:Nankai University
📅 最后更新时间:2025-07-26