CVSS 3.0 计算公式及说明

一、基础评价

1. 基础评价公式为:

  当 影响度分值 <= 0: 基础分值 = 0

  当 0 < 影响度分值 + 可利用度分值 < 10:

    作用域 = 固定: 基础分值 = Roundup(影响度分值 + 可利用度分值)

    作用域 = 变化: 基础分值 = Roundup[1.08 × (影响度分值 + 可利用度分值)]

  当 影响度分值 + 可利用度分值 > 10:基础分值 = 10

  Roundup   保留小数点后一位,小数点后第二位大于零则进一。 例如, Roundup(4.02) = 4.1; 或者 Roundup(4.00) = 4.0

说明:


     

   漏洞 = 受影响组件 + 脆弱组件

  Base metrics 基础评价: 基础评价表示一个漏洞的内在特征,该漏洞随时间和跨用户环境保持不变。它由两组指标组成: 可利用度 和 影响度。

The Base metric group represents the intrinsic characteristics of a vulnerability that are constant over time and across user environments. It is composed of two sets of metrics: the Exploitability metrics and the Impact metrics.

  Impact metrics  影响度评价(ISC): 影响度评价反映漏洞被成功利用所造成的直接后果,并表示 受影响组件(Impacted component)的情况。

The Impact metrics reflect the direct consequence of a successful exploit, and represent the consequence to the thing that suffers the impact, which we refer to formally as the impacted component.

  Exploitability  metrics  可利用度评价: 可利用度评价反映可利用漏洞的易利用性和技术手段难易度。 表示脆弱组件(vulnerable component)受攻击的难易程度。

The Exploitability metrics reflect the ease and technical means by which the vulnerability can be exploited. That is, they represent characteristics of the thing that is vulnerable, which we refer to formally as the vulnerable component.

  Scope 影响范围: CVSS3.0版计算的一个重要属性,反映软件组件中的漏洞会否影响其以外的资源或获得其以外的权限。这一结果由度量值 授权域 或 简单域表示。

An important property captured by CVSS v3.0 is the ability for a vulnerability in one software component to impact resources beyond its means, or privileges. This consequence is represented by the metric Authorization Scope, or simply Scope.

  取值范围:unchanged(U) 固定:被利用的漏洞只能影响由同一当局管理的资源。在这种情况下,脆弱组件 受影响组件是同一个。

        changed(C)  变化:被利用的漏洞可能会影响超出脆弱组件预期授权权限的资源。在这种情况下,脆弱组件受影响组件并非同一个。

2.影响度分值计算公式为:

  当 作用域 = 固定: 影响度分值 = 6.42 × ISCbase

  当 作用域 = 变化: 影响度分值 = 7.52 × (ISCbase − 0.029) − 3.25 × (ISCbase - 0.02)^15

  其中: ISCbase = 1- [(1 - 机密性影响) × (1 - 完整性影响) × (1 - 可用性影响)]

  ISCbase 为临时变量

说明:

  Confidentiality Impact(C) 机密性影响: 该指标衡量成功利用漏洞对软件组件管理的信息资源的机密性的影响程度。机密 是指仅限于授权用户访问和披露的信息,以及防止未授权用户访问或披露的信息。

This metric measures the impact to the confidentiality of the information resources managed by a software component due to a successfully exploited vulnerability. Confidentiality refers to limiting information access and disclosure to only authorized users, as well as preventing access by, or disclosure to, unauthorized ones.

  Integrity Impact(I) 完整性影响: 该指标衡量成功利用漏洞对完整性的影响程度。完整性 是指信息的可靠性和准确性。

This metric measures the impact to integrity of a successfully exploited vulnerability. Integrity refers to the trustworthiness and veracity of information.

  Availability Impact(A) 可用性影响: 该指标衡量成功利用漏洞对受影响组件可用性的影响程度。虽然机密性和完整性影响指标适用于受影响组件使用的数据(如信息、文件)的机密性或完整性的损失,但此指标是指受影响组件本身的可用性损失,如网络服务(如Web、数据库、电子邮件)。可用性是指信息资源的可访问性,如消耗网络带宽、处理器周期或磁盘空间的攻击都会影响受影响组件的可用性。

This metric measures the impact to the availability of the impacted component resulting from a successfully exploited vulnerability. While the Confidentiality and Integrity impact metrics apply to the loss of confidentiality or integrity of data (e.g., information, files) used by the impacted component, this metric refers to the loss of availability of the impacted component itself, such as a networked service (e.g., web, database, email). Since availability refers to the accessibility of information resources, attacks that consume network bandwidth, processor cycles, or disk space all impact the availability of an impacted component.

  以上三项的取值范围(相同)  None(N) 无: 毫无影响。

                   Low(L)  低: 低程度影响,总体上不会造成重大损失。

                 High(H) 高: 高度影响,可能会造成严重的损失。

3.可利用度分值计算公式为:

 可利用度分值 = 8.22 × 攻击途径 × 攻击复杂度 × 权限要求 × 用户交互

说明:

  Attack Vector(AV) 攻击途径该指标反映了攻击脆弱组件的环境可能。该度量值(以及相应的基本分数)将越大,攻击者攻击脆弱组件的距离(逻辑上和物理上)就越远。

  This metric reflects the context by which vulnerability exploitation is possible. This metric value (and consequently the Base score) will be larger the more remote (logically, and physically) an attacker can be in order to exploit the vulnerable component.

  取值范围:Network(N) 远程网络可远程利用,即此脆弱组件可被一个以上网络跃点的距离进行攻击(例如,跨路由器的第3层边界)。

        Adjacent Network(A) 相邻网络:攻击仅限于同一共享物理(如蓝牙、IEEE 802.11)或逻辑(如本地IP子网)网络,并且不能跨OSI第3层边界(如路由器)执行。

         Local(L) 本地: 攻击者只能通过本地读/写/执行功能进行攻击。在某些情况下,攻击者可能在本地登录以攻击脆弱组件,或者可能依赖用户交互来执行恶意文件。

        Physical(P) 物理: 攻击者只能通过物理方式接触或操作脆弱组件,例如将外围设备连接到系统。

  Attack Complexity (AC) 攻击复杂度 攻击复杂度为攻击者无法控制的条件,这些条件必须存在才能攻击脆弱组件。如下文所述,这些条件可能需要预先收集有关目标或系统的配置或计算异常等更多信息。

  The Attack Complexity metric describes the conditions beyond the attacker's control that must exist in order to exploit the vulnerability. As described below, such conditions may require the collection of more information about the target, the presence of certain system configuration settings, or computational exceptions.

  取值范围:Low(L) 低复杂度: 攻击者可以随意攻击,不存在惩罚机制。

       High(H) 高复杂度: 攻击无法随意完成,攻击者在攻击成功之前,需要对脆弱组件投入大量的准备。

  Privilege Required (PR) 权限要求: 此指标描述攻击者在成功攻击脆弱组件之前必须拥有的权限级别。

  This metric describes the level of privileges an attacker must possess before successfully exploiting the vulnerability.

  取值范围:None(N) 无要求:攻击者在攻击之前无需经过授权,因此不需要访问设置或文件来执行攻击。

       Low(L) 低权要求: 攻击者需要拥有基本用户功能的特权,通常只影响普通用户拥有的设置和文件。或者,具有低权限的攻击者可能只能对非敏感资源造成影响。

       High(H) 高权要求: 攻击者需要对可能影响组件范围设置和文件的易受攻击组件提供重要(如管理)控制的权限。

  User Interaction (UI) 用户交互:此指标描述攻击脆弱组件对除攻击者之外的用户参与的需求,即确定脆弱组件是仅攻击者本身就可以随意利用,还是需要用户(或用户进程)以某种方式参与。

  This metric captures the requirement for a user, other than the attacker, to participate in the successful compromise of the vulnerable component. This metric determines whether the vulnerability can be exploited solely at the will of the attacker, or whether a separate user (or user-initiated process) must participate in some manner.

  取值范围:None(N) 无需求:不需要任何用户的交互就可以成功攻击此脆弱组件。

        Require(R) 有需求:需要用户采取一些措施才能成功攻击此脆弱组件,例如说服用户单击电子邮件中的链接。

二、生命周期评价

1.生命周期评价的计算公式为:

  生命周期 = Roundup(基础分值 × 利用度 × 补丁水平 × 报告可信度)

说明:

  

  Temporal 生命周期评价

  此指标衡量当前利用技术或代码可用性的状态,是否存在任何补丁或解决方法,或者漏洞报告的可信度。生命周期评价几乎肯定会随着时间的推移而改变。

  The Temporal metrics measure the current state of exploit techniques or code availability, the existence of any patches or workarounds, or the confidence that one has in the description of a vulnerability. Temporal metrics will almost certainly change over time.

  Exploitability (E) 利用代码成熟度

  该指标衡量漏洞被攻击的的可能性,通常基于当前的利用技术状态、利用代码可用性或主动“在野外”利用。漏洞越容易被利用,漏洞得分越高。

This metric measures the likelihood of the vulnerability being attacked, and is typically based on the current state of exploit techniques, exploit code availability, or active, 'in-the-wild' exploitation. The more easily a vulnerability can be exploited, the higher the vulnerability score.

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

        Unproven that exploit exists(U) 未证明漏洞存在:没有可用的漏洞代码,或者漏洞完全是理论上的。

        Proof of concept code(P) 概念验证阶段:概念验证利用代码可用,或者攻击演示对大多数系统都不实用。代码或技术在所有情况下都不起作用,可能需要熟练的攻击者进行大量修改。

         Founctional exploit exists(F) 功能性漏洞代码可用: 在存在该漏洞的大多数情况下,代码都可以工作。

         High(H) 高度可用: 存在自动功能或者不需要手动触发的代码,且详细被广泛公开。利用代码在任何情况下都有效,或者通过自主代理(如蠕虫或病毒)主动传递。连接网络的系统可能会遭到扫描或利用尝试。开发已达到可靠、广泛可用、易于使用的自动化工具水平。

  Remediation Level(RL) 补丁水平:漏洞的修复级别是确定优先级的一个重要因素。典型的漏洞在最初发布时是未修补的。在发布官方补丁或升级之前,解决方法或修复程序可能会提供临时补救措施。这些阶段中的每一个都向下调整时间评分,反映出随着补救成为最终结果而降低的紧迫性。

  The Remediation Level of a vulnerability is an important factor for prioritization. The typical vulnerability is unpatched when initially published. Workarounds or hotfixes may offer interim remediation until an official patch or upgrade is issued. Each of these respective stages adjusts the temporal score downwards, reflecting the decreasing urgency as remediation becomes final.

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

       Offical fix(O) 正式修复补丁:供应商已提供完整的解决方案。供应商已经发布了官方补丁,或者可以升级。

       Temporary fix(T) 临时修复补丁:有一个官方但临时的解决方案。这包括供应商发布临时修补程序、工具或解决方案的实例。

       Workaround(W) 非官方修复方式:有一个非官方的、非供应商的解决方案。在某些情况下,受影响技术的用户将创建自己的补丁,或提供解决或减轻漏洞的步骤。

       Unavailable(U) 无可用修复方案:要么没有可用的解决方案,要么无法应用。

  Report Confidence (RC) 报告可信度:该指标衡量对漏洞存在及已知技术细节的可信度。有时只公开存在漏洞,但没有具体细节。该漏洞随后可能会被研究所证实,研究表明漏洞可能存在于何处,尽管研究可能不确定。最后,脆弱性可以通过受影响技术的作者或供应商的公示来确认。

  This metric measures the degree of confidence in the existence of the vulnerability and the credibility of the known technical details. Sometimes only the existence of vulnerabilities are publicized, but without specific details. The vulnerability may later be corroborated by research which suggests where the vulnerability may lie, though the research may not be certain. Finally, a vulnerability may be confirmed through acknowledgement by the author or vendor of the affected technology.

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

        Unknown(U) 未知:存在表明存在漏洞的影响报告。报告对漏洞的原因未知,或者报告描述的可能在漏洞的原因或影响与实际有所不同。报告者对漏洞的真实性质不确定,并且对于报告的有效性或考虑到所描述的差异是否可以应用静态基础分数几乎没有信心。

        Reasonable(R) 可信:重要的细节已经公布,但是研究人员或者对根本原因没有完全确定,或者没有可访问的源代码来完全确认可能导致的结果及所有交互作用。然而,存在一定的可信度,即bug是可复制的,并且至少有一个影响可以被验证出来(概念验证出漏洞可被利用)。

        Confirmed(C) 已确认:存在详细的报告,或者可以进行功能复制。源代码被用于独立验证研究并得到确证,或者受影响代码的作者或供应商已确认存在该漏洞。

三、环境评价

1.环境评价的计算公式为:

  当 影响度 <= 0: 环境评价分值 = 0

  当 影响度 > 0 且 无修正:环境评价分值 = Roundup(Roundup (Min[(M.影响度分值 + M.可利用度分值) ,10])× 利用度 × 补丁水平 × 报告可信度)

  当 影响度 > 0 且 有修正:环境评价分值 = Roundup(Roundup (Min[1.08 × (M.影响度分值 + M.可利用度分值) ,10]) × 利用度 × 补丁水平 × 报告可信度)

  Min 比较前后两值,取小者

  M. 代表被修正后的分数,弱对应项无修改,则为原值。

2.影响力修正得分公式为:

  作用域 = 固定: 影响度修正分  = 6.42 × ISCModified

  作用域 = 变化:影响度修正分  = 7.52 × (ISCModified − 0.029) − 3.25 × (ISCModified - 0.02)^15

  其中: ISCModified = Min(1- [(1 - M.机密性影响 × M.机密性需求) × (1 - M.完整性影响 × M.完整性需求) × (1 - M.可用性影响 × M.可用性需求)],0.915)

    ISCModified 为临时变量

3.可利用性修正得分公式为:

  M.可利用度分值 = 8.22 × M.攻击途径 × M.攻击复杂度 × M.权限需求 × M.用户交互

说明:

   

  Environmental 环境评价: 这些指标使分析师能够根据受影响的IT资产对用户组织的重要性定制CVSS评分,以现有的补充/替代安全控制、机密性、完整性和可用性衡量。这些度量是修改后的基本度量的等价物,并根据组织基础结构中组件的情况的分配分值。

  These metrics enable the analyst to customize the CVSS score depending on the importance of the affected IT asset to a user's organization, measured in terms of complementary/alternative security controls in place, Confidentiality, Integrity, and Availability. The metrics are the modified equivalent of base metrics and are assigned metrics value based on the component placement in organization infrastructure

  *注:除以下三项以外,其他子项的定义均与原基础评价对应的子项定义一致

  Confidentiality Requirement (CR):机密性需求

  Integrity Requirement (IR):完整性需求

  Availability Requirement (AR):可用性需求

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

          Low(L) 低: 机密性(完整性/可用性) 丧失可能对组织或与组织相关的个人(如员工、客户)产生有限的不利影响。

         Medium(M) 中: 机密性(完整性/可用性) 丧失可能对组织或与组织相关的个人(如员工、客户)产生严重不利影响。

       High(H) 高: 机密性(完整性/可用性) 可能对组织或与组织相关的个人(如员工、客户)造成灾难性的不利影响。

       

四、原文 

  原文出处:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

通用漏洞评估方法CVSS 3.0 计算公式及说明的更多相关文章

  1. 通用漏洞评估方法CVSS3.0简表

    CVSS3.0计算分值共有三种维度: 1. 基础度量. 分为 可利用性 及 影响度 两个子项,是漏洞评估的静态分值. 2. 时间度量. 基础维度之上结合受时间影响的三个动态分值,进而评估该漏洞的动态分 ...

  2. SNFAutoupdater通用自动升级组件V2.0

    1.组件介绍 C/S构的特点是能充分发挥客户端的处理能力,很多工作可以由客户端处理后再提交给服务器,对应的优点就是客户端响应速度快模式客户端以其强大的功能,丰富的表现力受到相当大部分用户的青睐,但是客 ...

  3. CentOS8.1操作系下使用通用二进制包安装MySQL8.0(实践整理自MySQL官方)

    写在前的的话: 在IT技术日新月异的今天,老司机也可能在看似熟悉的道路上翻车,甚至是大型翻车现场!自己一个人开车过去翻个车不可怕,可怕的是带着整个团队甚至是整个公司一起翻车山崖下,解决办法就是:新出现 ...

  4. 网络攻防实验任务三_(2)X-Scan通用漏洞扫描实验

    首先在宿主机中打开xscan_gui.exe,结果系统直接将它删掉了. 大概是因为开了防火墙的缘故. 于是我在win7虚拟机中运行这个程序. 并且关闭防火墙,在win7中可以运行 我再试了一下win1 ...

  5. 【漏洞】PHPCMS_V9.6.0 前台注册GETSHELL

    首先准备一台公网服务器,在上面新建一个一句话的txt文件.如下: 接着打开目标网站,点击注册,填写信息后点击提交,拦截该数据包. 将其中post提交的数据替换成我们的poc,poc如下: siteid ...

  6. 漏洞风险评估:CVSS介绍及计算

    CVSS 通用弱点评价体系(CVSS)是由NIAC开发.FIRST维护的一个开放并且能够被产品厂商免费采用的标准.利用该标准,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级. CVSS : ...

  7. Phpwind v9.0 存储型xss跨站漏洞

    漏洞版本: Phpwind v9.0 漏洞描述: Phpwind专注于中小网站应用的整合和价值的发掘,我们认为,以社区为网站的基础,可以提供丰富的应用,满足人们获取信息.交流.娱乐.消费等生活需求.获 ...

  8. phpMyAdmin <= 4.0.4.1 import.php GLOBALS变量注入漏洞

    漏洞版本: phpMyAdmin <= 4.0.4.1 漏洞描述: CVE(CAN) ID: CVE-2013-4729 phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创 ...

  9. ThinkPHP 小于5.0.24 远程代码执行高危漏洞 修复方案

    漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell. 漏洞评级严重 影响版本ThinkPHP 5.0系列 < ...

随机推荐

  1. 动态切换 web 报表中的统计图类型

    统计图在浏览器端展现时,不同的使用人员对图形的展现形式会有不同的要求,有的需要柱形图.有的想看折线图等,报表支持用户在浏览器端动态的选择统计图类型,关注乾学院,查看具体实现方法动态切换 web 报表中 ...

  2. OkHttp3源码详解(二) 整体流程

    1.简单使用 同步: @Override public Response execute() throws IOException { synchronized (this) { if (execut ...

  3. idea 自动换行

    如下:

  4. Java:【面向对象:类的定义,静态变量,成员变量,构造函数,封装与私有,this】

    本文内容: 什么是面对对象 类的定义与对象实例化 成员变量 成员变量的有效范围 成员变量的赋值 静态变量.方法与实例变量.方法 构造函数 封装与私有 this关键字 注:函数和方法是一样东西.[由于我 ...

  5. matlab练习程序(高斯牛顿法最优化)

    计算步骤如下: 图片来自<视觉slam十四讲>6.2.2节. 下面使用书中的练习y=exp(a*x^2+b*x+c)+w这个模型验证一下,其中w为噪声,a.b.c为待解算系数. 代码如下: ...

  6. [20171206]rman与truncate.txt

    [20171206]rman与truncate.txt --//昨天下班在回家的路上,突然想起以前遇到的问题,就是truncate表后,rman做备份时会备份多少truncate表的信息,--//当时 ...

  7. 修改Github上提交日志

    bash: git rebase -i HEAD~5:假定你要修改的日志位于当前版本(HEAD)的前4次提交中. vi: pick -> reword:在自动打开的vi编辑器中,上下选择你要修改 ...

  8. pThreads线程(一) 基本API

    1.创建线程  int pthread_create(pthread_t *restrict_ptid,              const pthread_attr_t *restrict_att ...

  9. nginx与location语法详解

    Location语法优先级排列 匹配符 匹配规则 优先级 = 精确匹配 ^~ 以某个字符串开头 ~ 区分大小写的正则匹配 ~* 不区分大小写的正则匹配 !~ 区分大小写不匹配的正则 !~* 不区分大小 ...

  10. 【洛谷】【动态规划/01背包】P1734 最大约数和

    [题目描述:] 选取和不超过S的若干个不同的正整数,使得所有数的约数(不含它本身)之和最大. [输入格式:] 输入一个正整数S. [输出格式:] 输出最大的约数之和. [算法分析:] 01背包,每个数 ...