CVSS评分策略分析及近年来满分漏洞盘点

最新推荐文章于 2025-11-13 07:45:00 发布
原创 最新推荐文章于 2025-11-13 07:45:00 发布 · 1w 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #网络安全

本文深入解析了通用漏洞评分系统(CVSS)的评分依据,包括基础评价、生命周期评价和环境评价三个维度,以及在CVSS2.0和3.1版本间的差异。CVSS评分考虑了漏洞的攻击途径、复杂度、认证、机密性、完整性和可用性等因素,用于评估漏洞的严重程度。文章通过永恒之蓝漏洞为例,说明了评分并不完全反映漏洞的实际影响,指出满分漏洞并不总是最严重的。此外,列举了近年来一些高分漏洞,强调了CVSS评分在网络安全响应中的重要性。

01  引言

近两年正如许多安全公司的研究员亲身经历的那样,网络攻击量显著增加,重大漏洞被相继爆出并伴随着在野利用。如去年年底的log4shell(CVE-2021-44228)和今年爆出的spring4shell(CVE-2022-22965)在安全圈里都掀起了不小的风浪。由于在分析spring漏洞时cve编号还没有出来,自评影响力也没那么“核弹级”,后续就没怎么关注这个漏洞的。最近突然想看看这个漏洞的CVSS评分,看看官方是怎么给这漏洞做影响力定义的。查看后发现该漏洞CVSSV2.0评分为7.5,CVSS3.1的评分为9.8。那么CVSS的评分依据究竟是什么?2.x和3.x的评分标准区别在哪?是否分数越高就表示漏洞危害越大?近年来又有哪些CVSS评分为满分的漏洞?本篇文章想就这些问题跟大家简单聊一聊。

02  CVSS评分依据

2.1 CVSS评分指标

CVSS全称为Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个行业公开的标准。其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。CVSS是安全内容自动化协议(SCAP)的一部分,通常CVSS和CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。CVSS标准由FIRST制定,并由其组织团队SIG(The CVSS Special Interest Group)改进和推广。通过漏洞难易程度以及对机密性、完整性、可用性的影响综合评估后,生成一个0到10分之间的评分值来评估漏洞的严重程度。

CVSS的评分指标由三部分组成:

1、基础评价(Base Metric Group):

评估漏洞本身固有的一些特点及这些特点可能造成的影响。基础评价指的是一个漏洞的内在特征,该特征随时间和用户环境保持不变,基础评价是CVSS评分里最重要的一个指标,我们一般说的CVSS评分都是指漏洞的基础评价得分。

2、生命周期评价(Temporal Metric Group):

此指标衡量当前利用技术或代码可用性的状态,是否存在任何补丁或解决方法或者漏洞报告的可信度等。生命周期评价几乎肯定会随着时间的推移而改变。

3、环境评价(Environmental Metric Group):

这些指标使分析师能够根据受影响的IT资产对用户组织的重要性定制CVSS评分,并根据组织基础结构中组件的情况的分配分值。

2.2 基础评价对比

不同版本的CVSS对以上三个维度的评价方式略有不同,CVSS2.0在基础评价阶段主要评估攻击途径、攻击复杂度、认证、机密性、完整性和可用性几个方面,评分要素如下表所示:

最低0.47元/天 解锁文章
深入了解通用漏洞评分系统(CVSS
qq_33163046的博客
09-23 6080
2015 年,CVSS 3.0 版本发布。它新增了用户交互(UI)和必要权限(PR)两个指标,为攻击复杂度(AC)指标引入了新的取值,还新增了 Scope (S) 指标来处理漏洞影响其他系统的情形。这一版本在漏洞评估的准确性和全面性上有了很大的提升。 2019 年,CVSS 3.1 版本推出。它没有引入新的指标,主要是对标准给出了更清晰的解释,增加了易用性,使得安全专业人员更容易理解和应用 CVSS 标准。 2023 年 10 月,CVSS 4.0 版本正式发布。它重新定义了评分术语体系,强调 CVSS
医疗器械网络安全风险评定CVSS打分
ct745363083的博客
01-11 1851
为了完成医疗器械软件的网络安全风险评定相关文档,需要进行CVSS评分,这个评分对于第一次做的人来说感觉还是有些迷惑的,查了一些资料,留作参考。CVSS 指的是 Common Vulnerability Scoring System,即通用漏洞评分系统。它是一种用于评估和量化计算机系统和网络设备安全性的开放标准。CVSS 的主要目的是为安全专业人员提供一个共享的、一致的框架,以评估和比较安全漏洞的严重性。CVSS评分网址:https://www.first.org/cvss/calculator/3.1 如下
CVSS评分维度
01-02
文档取材国际通用标准,安全漏洞评分标准,CVSS标准。
网络安全常用术语解读 」通用漏洞评分系统CVSS详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-11 1万+
CVSS全称是Common Vulnerability Scoring System,中文翻译为通用漏洞评分系统,CVSS是一个用于沟通软件漏洞特征和严重性的开放框架,它由FIRST(Forum of Incident Response and Security Teams)定义和维护。CVSS提供了一种方法来获取漏洞的主要特征,并生成反映其严重性的数值评分,取值范围[0,10],取值越高表明漏洞越严重,主要用于帮助组织或企业在漏洞管理流程中评估与定级漏洞
CVSS漏洞等级详解:从超危到低危的全面解析
最新发布
weixin_43172311的博客
11-13 1198
网络安全领域,漏洞的严重程度直接影响系统的风险等级。为了统一评估标准,**通用漏洞评分系统(Common Vulnerability Scoring System, CVSS)**被广泛采用,它通过量化指标将漏洞划分为**超危(Critical)、高危(High)、中危(Medium)、低危(Low)**四个等级,帮助安全团队优先处理最紧迫的威胁。
安全漏洞评分系统CVSS
2301_76563067的博客
09-26 4616
通用漏洞评分系统(Common Vulnerability Scoring System,CVSSCVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞
cvss评分漏洞矢量
General_zy的博客
10-25 6086
CVSS2.0对漏洞等级的定义有低、中、高三个级别,CVSS3.0开始补充了“严重”这个级别。C(Confidentiality Impact)代表机密性影响度。A(Availability Impact)代表可用性影响度。PR(Privileges Required)代表权限要求。AC(Attack Complexity)代表攻击复杂度。I(Integrity Impact)代表完整性影响度。AV(Attack Vector)代表攻击途径。S(Scope)代表作用域。
CVSS(通用漏洞评分系统)
Flying_Fish_roe的博客
07-29 3131
CVSS(通用漏洞评分系统)是评估漏洞严重性的标准化框架,由FIRST维护,提供0-10分的量化评分。2023年发布的CVSS 4.0新增攻击条件、安全指标等维度,支持OT/ICS场景,但隐私风险覆盖仍不足。评分由基础、威胁、环境和补充四组指标构成,通过公式计算风险等级(如9-10分为严重)。CVSS广泛应用于漏洞优先级筛选、合规管理及云原生/工业场景,但存在主观偏差、环境耦合不足等局限。未来需结合AI漏洞模型等改进,并与OWASP、MITRE ATT&CK等框架协同,动态适配新兴威胁。(14
58、漏洞报告编写与CVSS评分系统全解析
w7x8y9z的博客
08-10 124
本文详细解析了常见漏洞评分系统(CVSS)的使用方法,并通过SQL注入漏洞示例演示了如何计算漏洞分数。同时,文章介绍了网络安全评估中报告撰写的重要性及结构,以及如何利用Dradis Community Edition工具进行高效渗透测试和报告生成。
安全漏洞评分系统(CVSS
KerryRuan的专栏
04-08 3万+
CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。 CVSS安全内容自动化协议(SCAP)[2]的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。 CVSS的目标是为所有软件安全漏洞提供一个严重程度的评级
cvss漏洞评分标准_CVE20201971 | OpenSSL拒绝服务漏洞通告
weixin_31507527的博客
12-22 673
0x00 漏洞概述CVEIDCVE-2020-1971时 间2020-12-09类 型拒绝服务等 级高危远程利用是影响范围OpenSSL 1.1.1 - 1.1.1hOpenSSL 1.0.2 - 1.0.2w0x01 漏洞详情OpenSSL是一个开放源代码的软件库包,应用程序可以使它来进行安全通信,以避免被窃听,同时它能够确认另一端连接者的身份,被广泛被应用在互联网的网...
了解 CVSS:通用漏洞评分系统的应用
阿道夫的博客
08-04 662
软件开发人员、漏洞研究人员和威胁管理团队使用通用漏洞评分系统来识别软件漏洞CVSS提供了一个标准化的评分系统来评估软件漏洞的严重性。然后可以有效地优先考虑这些威胁以及消除它们所需的行动。现在,CVSS 由美国非营利性公司事件响应和安全团队论坛 (FIRST)拥有和管理,并得到来自各个行业的一组代表的支持,这些代表致力于帮助保护组织免受网络威胁。软件漏洞带来的无穷无尽的风险给虚拟机管理人员带来了挑战。CVSS帮助识别潜在漏洞并评估其严重性的关键工具。
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-14 6922
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
CVSS(Common Vulnerability Scoring System)打分规则解读
weixin_42316952的博客
09-13 683
CVSS(Common Vulnerability Scoring System)提供了一种根据漏洞的主要特征进行打分,反映其严重性的方法。CVSS 已成为被广泛使用的标准。 下面是CVSS 3.1版本计算器的界面截图,本文对Base Score的打分标准做解读,并提供一些建议。同时会对每个维度选项做翻译。 Attack Vector 攻击向量 从广域网、局域网攻击。Network。 要跑...
漏洞风险评估:CVSS介绍及计算
热门推荐
YQ的博客
05-14 5万+
本文出自 “Jack zhai” 博客,请务必保留此出处http://zhaisj.blog.51cto.com/219066/56451  CVSS的计算公式与参数   1、基本度量值的计算公式与参数      2、时间度量值的计算公式与参数      3、环境度量值的计算公式与参数      4、脆弱性值计算公式   V = INT [ (
cvss漏洞评分标准_CVE202013937 | Apache Kylin信息泄露漏洞通告
weixin_39887221的博客
12-23 565
0x00 漏洞概述CVEIDCVE-2020-13937时 间2020-10-20类 型信息泄露等 级高危远程利用是影响范围ApacheKylin是Apache软件基金会的一款开源的分布式分析型数据仓库。其主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能以支持超大规模的数据查询。0x01 漏洞详情2020年10月19日,Apache Kylin发布...
通用漏洞评分系统 (CVSS)系统入门指南
分享 GPU 管理与大模型推理相关技术实践
09-19 1811
通用漏洞评分系统 (CVSS) 是一个公共框架 ,用于评估软件中安全漏洞的严重性。这是一个中立的评分系统,让所有企业能够使用相同的评分框架对各种软件产品(从操作系统、数据库再到 Web 应用程序)的 IT 漏洞进行评分
CVSS评分的使用场景 如果没有发现漏洞是否进行CVSS评分
06-14
2. **风险管理决策支持**:通过CVSS评分,企业可以更好地理解漏洞对业务系统的潜在影响,从而制定更有效的风险管理策略[^5]。 3. **沟通与协作**:CVSS提供了一种通用语言,使不同组织之间能够更有效地沟通漏洞特征...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值