CVSS 3.0 计算公式及说明

一、基础评价

1. 基础评价公式为:

  当 影响度分值 <= 0: 基础分值 = 0

  当 0 < 影响度分值 + 可利用度分值 < 10:

    作用域 = 固定: 基础分值 = Roundup(影响度分值 + 可利用度分值)

    作用域 = 变化: 基础分值 = Roundup[1.08 × (影响度分值 + 可利用度分值)]

  当 影响度分值 + 可利用度分值 > 10:基础分值 = 10

  Roundup   保留小数点后一位,小数点后第二位大于零则进一。 例如, Roundup(4.02) = 4.1; 或者 Roundup(4.00) = 4.0

说明:


     

   漏洞 = 受影响组件 + 脆弱组件

  Base metrics 基础评价: 基础评价表示一个漏洞的内在特征,该漏洞随时间和跨用户环境保持不变。它由两组指标组成: 可利用度 和 影响度。

The Base metric group represents the intrinsic characteristics of a vulnerability that are constant over time and across user environments. It is composed of two sets of metrics: the Exploitability metrics and the Impact metrics.

  Impact metrics  影响度评价(ISC): 影响度评价反映漏洞被成功利用所造成的直接后果,并表示 受影响组件(Impacted component)的情况。

The Impact metrics reflect the direct consequence of a successful exploit, and represent the consequence to the thing that suffers the impact, which we refer to formally as the impacted component.

  Exploitability  metrics  可利用度评价: 可利用度评价反映可利用漏洞的易利用性和技术手段难易度。 表示脆弱组件(vulnerable component)受攻击的难易程度。

The Exploitability metrics reflect the ease and technical means by which the vulnerability can be exploited. That is, they represent characteristics of the thing that is vulnerable, which we refer to formally as the vulnerable component.

  Scope 影响范围: CVSS3.0版计算的一个重要属性,反映软件组件中的漏洞会否影响其以外的资源或获得其以外的权限。这一结果由度量值 授权域 或 简单域表示。

An important property captured by CVSS v3.0 is the ability for a vulnerability in one software component to impact resources beyond its means, or privileges. This consequence is represented by the metric Authorization Scope, or simply Scope.

  取值范围:unchanged(U) 固定:被利用的漏洞只能影响由同一当局管理的资源。在这种情况下,脆弱组件 受影响组件是同一个。

        changed(C)  变化:被利用的漏洞可能会影响超出脆弱组件预期授权权限的资源。在这种情况下,脆弱组件受影响组件并非同一个。

2.影响度分值计算公式为:

  当 作用域 = 固定: 影响度分值 = 6.42 × ISCbase

  当 作用域 = 变化: 影响度分值 = 7.52 × (ISCbase − 0.029) − 3.25 × (ISCbase - 0.02)^15

  其中: ISCbase = 1- [(1 - 机密性影响) × (1 - 完整性影响) × (1 - 可用性影响)]

  ISCbase 为临时变量

说明:

  Confidentiality Impact(C) 机密性影响: 该指标衡量成功利用漏洞对软件组件管理的信息资源的机密性的影响程度。机密 是指仅限于授权用户访问和披露的信息,以及防止未授权用户访问或披露的信息。

This metric measures the impact to the confidentiality of the information resources managed by a software component due to a successfully exploited vulnerability. Confidentiality refers to limiting information access and disclosure to only authorized users, as well as preventing access by, or disclosure to, unauthorized ones.

  Integrity Impact(I) 完整性影响: 该指标衡量成功利用漏洞对完整性的影响程度。完整性 是指信息的可靠性和准确性。

This metric measures the impact to integrity of a successfully exploited vulnerability. Integrity refers to the trustworthiness and veracity of information.

  Availability Impact(A) 可用性影响: 该指标衡量成功利用漏洞对受影响组件可用性的影响程度。虽然机密性和完整性影响指标适用于受影响组件使用的数据(如信息、文件)的机密性或完整性的损失,但此指标是指受影响组件本身的可用性损失,如网络服务(如Web、数据库、电子邮件)。可用性是指信息资源的可访问性,如消耗网络带宽、处理器周期或磁盘空间的攻击都会影响受影响组件的可用性。

This metric measures the impact to the availability of the impacted component resulting from a successfully exploited vulnerability. While the Confidentiality and Integrity impact metrics apply to the loss of confidentiality or integrity of data (e.g., information, files) used by the impacted component, this metric refers to the loss of availability of the impacted component itself, such as a networked service (e.g., web, database, email). Since availability refers to the accessibility of information resources, attacks that consume network bandwidth, processor cycles, or disk space all impact the availability of an impacted component.

  以上三项的取值范围(相同)  None(N) 无: 毫无影响。

                   Low(L)  低: 低程度影响,总体上不会造成重大损失。

                 High(H) 高: 高度影响,可能会造成严重的损失。

3.可利用度分值计算公式为:

 可利用度分值 = 8.22 × 攻击途径 × 攻击复杂度 × 权限要求 × 用户交互

说明:

  Attack Vector(AV) 攻击途径该指标反映了攻击脆弱组件的环境可能。该度量值(以及相应的基本分数)将越大,攻击者攻击脆弱组件的距离(逻辑上和物理上)就越远。

  This metric reflects the context by which vulnerability exploitation is possible. This metric value (and consequently the Base score) will be larger the more remote (logically, and physically) an attacker can be in order to exploit the vulnerable component.

  取值范围:Network(N) 远程网络可远程利用,即此脆弱组件可被一个以上网络跃点的距离进行攻击(例如,跨路由器的第3层边界)。

        Adjacent Network(A) 相邻网络:攻击仅限于同一共享物理(如蓝牙、IEEE 802.11)或逻辑(如本地IP子网)网络,并且不能跨OSI第3层边界(如路由器)执行。

         Local(L) 本地: 攻击者只能通过本地读/写/执行功能进行攻击。在某些情况下,攻击者可能在本地登录以攻击脆弱组件,或者可能依赖用户交互来执行恶意文件。

        Physical(P) 物理: 攻击者只能通过物理方式接触或操作脆弱组件,例如将外围设备连接到系统。

  Attack Complexity (AC) 攻击复杂度 攻击复杂度为攻击者无法控制的条件,这些条件必须存在才能攻击脆弱组件。如下文所述,这些条件可能需要预先收集有关目标或系统的配置或计算异常等更多信息。

  The Attack Complexity metric describes the conditions beyond the attacker's control that must exist in order to exploit the vulnerability. As described below, such conditions may require the collection of more information about the target, the presence of certain system configuration settings, or computational exceptions.

  取值范围:Low(L) 低复杂度: 攻击者可以随意攻击,不存在惩罚机制。

       High(H) 高复杂度: 攻击无法随意完成,攻击者在攻击成功之前,需要对脆弱组件投入大量的准备。

  Privilege Required (PR) 权限要求: 此指标描述攻击者在成功攻击脆弱组件之前必须拥有的权限级别。

  This metric describes the level of privileges an attacker must possess before successfully exploiting the vulnerability.

  取值范围:None(N) 无要求:攻击者在攻击之前无需经过授权,因此不需要访问设置或文件来执行攻击。

       Low(L) 低权要求: 攻击者需要拥有基本用户功能的特权,通常只影响普通用户拥有的设置和文件。或者,具有低权限的攻击者可能只能对非敏感资源造成影响。

       High(H) 高权要求: 攻击者需要对可能影响组件范围设置和文件的易受攻击组件提供重要(如管理)控制的权限。

  User Interaction (UI) 用户交互:此指标描述攻击脆弱组件对除攻击者之外的用户参与的需求,即确定脆弱组件是仅攻击者本身就可以随意利用,还是需要用户(或用户进程)以某种方式参与。

  This metric captures the requirement for a user, other than the attacker, to participate in the successful compromise of the vulnerable component. This metric determines whether the vulnerability can be exploited solely at the will of the attacker, or whether a separate user (or user-initiated process) must participate in some manner.

  取值范围:None(N) 无需求:不需要任何用户的交互就可以成功攻击此脆弱组件。

        Require(R) 有需求:需要用户采取一些措施才能成功攻击此脆弱组件,例如说服用户单击电子邮件中的链接。

二、生命周期评价

1.生命周期评价的计算公式为:

  生命周期 = Roundup(基础分值 × 利用度 × 补丁水平 × 报告可信度)

说明:

  

  Temporal 生命周期评价

  此指标衡量当前利用技术或代码可用性的状态,是否存在任何补丁或解决方法,或者漏洞报告的可信度。生命周期评价几乎肯定会随着时间的推移而改变。

  The Temporal metrics measure the current state of exploit techniques or code availability, the existence of any patches or workarounds, or the confidence that one has in the description of a vulnerability. Temporal metrics will almost certainly change over time.

  Exploitability (E) 利用代码成熟度

  该指标衡量漏洞被攻击的的可能性,通常基于当前的利用技术状态、利用代码可用性或主动“在野外”利用。漏洞越容易被利用,漏洞得分越高。

This metric measures the likelihood of the vulnerability being attacked, and is typically based on the current state of exploit techniques, exploit code availability, or active, 'in-the-wild' exploitation. The more easily a vulnerability can be exploited, the higher the vulnerability score.

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

        Unproven that exploit exists(U) 未证明漏洞存在:没有可用的漏洞代码,或者漏洞完全是理论上的。

        Proof of concept code(P) 概念验证阶段:概念验证利用代码可用,或者攻击演示对大多数系统都不实用。代码或技术在所有情况下都不起作用,可能需要熟练的攻击者进行大量修改。

         Founctional exploit exists(F) 功能性漏洞代码可用: 在存在该漏洞的大多数情况下,代码都可以工作。

         High(H) 高度可用: 存在自动功能或者不需要手动触发的代码,且详细被广泛公开。利用代码在任何情况下都有效,或者通过自主代理(如蠕虫或病毒)主动传递。连接网络的系统可能会遭到扫描或利用尝试。开发已达到可靠、广泛可用、易于使用的自动化工具水平。

  Remediation Level(RL) 补丁水平:漏洞的修复级别是确定优先级的一个重要因素。典型的漏洞在最初发布时是未修补的。在发布官方补丁或升级之前,解决方法或修复程序可能会提供临时补救措施。这些阶段中的每一个都向下调整时间评分,反映出随着补救成为最终结果而降低的紧迫性。

  The Remediation Level of a vulnerability is an important factor for prioritization. The typical vulnerability is unpatched when initially published. Workarounds or hotfixes may offer interim remediation until an official patch or upgrade is issued. Each of these respective stages adjusts the temporal score downwards, reflecting the decreasing urgency as remediation becomes final.

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

       Offical fix(O) 正式修复补丁:供应商已提供完整的解决方案。供应商已经发布了官方补丁,或者可以升级。

       Temporary fix(T) 临时修复补丁:有一个官方但临时的解决方案。这包括供应商发布临时修补程序、工具或解决方案的实例。

       Workaround(W) 非官方修复方式:有一个非官方的、非供应商的解决方案。在某些情况下,受影响技术的用户将创建自己的补丁,或提供解决或减轻漏洞的步骤。

       Unavailable(U) 无可用修复方案:要么没有可用的解决方案,要么无法应用。

  Report Confidence (RC) 报告可信度:该指标衡量对漏洞存在及已知技术细节的可信度。有时只公开存在漏洞,但没有具体细节。该漏洞随后可能会被研究所证实,研究表明漏洞可能存在于何处,尽管研究可能不确定。最后,脆弱性可以通过受影响技术的作者或供应商的公示来确认。

  This metric measures the degree of confidence in the existence of the vulnerability and the credibility of the known technical details. Sometimes only the existence of vulnerabilities are publicized, but without specific details. The vulnerability may later be corroborated by research which suggests where the vulnerability may lie, though the research may not be certain. Finally, a vulnerability may be confirmed through acknowledgement by the author or vendor of the affected technology.

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

        Unknown(U) 未知:存在表明存在漏洞的影响报告。报告对漏洞的原因未知,或者报告描述的可能在漏洞的原因或影响与实际有所不同。报告者对漏洞的真实性质不确定,并且对于报告的有效性或考虑到所描述的差异是否可以应用静态基础分数几乎没有信心。

        Reasonable(R) 可信:重要的细节已经公布,但是研究人员或者对根本原因没有完全确定,或者没有可访问的源代码来完全确认可能导致的结果及所有交互作用。然而,存在一定的可信度,即bug是可复制的,并且至少有一个影响可以被验证出来(概念验证出漏洞可被利用)。

        Confirmed(C) 已确认:存在详细的报告,或者可以进行功能复制。源代码被用于独立验证研究并得到确证,或者受影响代码的作者或供应商已确认存在该漏洞。

三、环境评价

1.环境评价的计算公式为:

  当 影响度 <= 0: 环境评价分值 = 0

  当 影响度 > 0 且 无修正:环境评价分值 = Roundup(Roundup (Min[(M.影响度分值 + M.可利用度分值) ,10])× 利用度 × 补丁水平 × 报告可信度)

  当 影响度 > 0 且 有修正:环境评价分值 = Roundup(Roundup (Min[1.08 × (M.影响度分值 + M.可利用度分值) ,10]) × 利用度 × 补丁水平 × 报告可信度)

  Min 比较前后两值,取小者

  M. 代表被修正后的分数,弱对应项无修改,则为原值。

2.影响力修正得分公式为:

  作用域 = 固定: 影响度修正分  = 6.42 × ISCModified

  作用域 = 变化:影响度修正分  = 7.52 × (ISCModified − 0.029) − 3.25 × (ISCModified - 0.02)^15

  其中: ISCModified = Min(1- [(1 - M.机密性影响 × M.机密性需求) × (1 - M.完整性影响 × M.完整性需求) × (1 - M.可用性影响 × M.可用性需求)],0.915)

    ISCModified 为临时变量

3.可利用性修正得分公式为:

  M.可利用度分值 = 8.22 × M.攻击途径 × M.攻击复杂度 × M.权限需求 × M.用户交互

说明:

   

  Environmental 环境评价: 这些指标使分析师能够根据受影响的IT资产对用户组织的重要性定制CVSS评分,以现有的补充/替代安全控制、机密性、完整性和可用性衡量。这些度量是修改后的基本度量的等价物,并根据组织基础结构中组件的情况的分配分值。

  These metrics enable the analyst to customize the CVSS score depending on the importance of the affected IT asset to a user's organization, measured in terms of complementary/alternative security controls in place, Confidentiality, Integrity, and Availability. The metrics are the modified equivalent of base metrics and are assigned metrics value based on the component placement in organization infrastructure

  *注:除以下三项以外,其他子项的定义均与原基础评价对应的子项定义一致

  Confidentiality Requirement (CR):机密性需求

  Integrity Requirement (IR):完整性需求

  Availability Requirement (AR):可用性需求

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

          Low(L) 低: 机密性(完整性/可用性) 丧失可能对组织或与组织相关的个人(如员工、客户)产生有限的不利影响。

         Medium(M) 中: 机密性(完整性/可用性) 丧失可能对组织或与组织相关的个人(如员工、客户)产生严重不利影响。

       High(H) 高: 机密性(完整性/可用性) 可能对组织或与组织相关的个人(如员工、客户)造成灾难性的不利影响。

       

四、原文 

  原文出处:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

通用漏洞评估方法CVSS 3.0 计算公式及说明的更多相关文章

  1. 通用漏洞评估方法CVSS3.0简表

    CVSS3.0计算分值共有三种维度: 1. 基础度量. 分为 可利用性 及 影响度 两个子项,是漏洞评估的静态分值. 2. 时间度量. 基础维度之上结合受时间影响的三个动态分值,进而评估该漏洞的动态分 ...

  2. SNFAutoupdater通用自动升级组件V2.0

    1.组件介绍 C/S构的特点是能充分发挥客户端的处理能力,很多工作可以由客户端处理后再提交给服务器,对应的优点就是客户端响应速度快模式客户端以其强大的功能,丰富的表现力受到相当大部分用户的青睐,但是客 ...

  3. CentOS8.1操作系下使用通用二进制包安装MySQL8.0(实践整理自MySQL官方)

    写在前的的话: 在IT技术日新月异的今天,老司机也可能在看似熟悉的道路上翻车,甚至是大型翻车现场!自己一个人开车过去翻个车不可怕,可怕的是带着整个团队甚至是整个公司一起翻车山崖下,解决办法就是:新出现 ...

  4. 网络攻防实验任务三_(2)X-Scan通用漏洞扫描实验

    首先在宿主机中打开xscan_gui.exe,结果系统直接将它删掉了. 大概是因为开了防火墙的缘故. 于是我在win7虚拟机中运行这个程序. 并且关闭防火墙,在win7中可以运行 我再试了一下win1 ...

  5. 【漏洞】PHPCMS_V9.6.0 前台注册GETSHELL

    首先准备一台公网服务器,在上面新建一个一句话的txt文件.如下: 接着打开目标网站,点击注册,填写信息后点击提交,拦截该数据包. 将其中post提交的数据替换成我们的poc,poc如下: siteid ...

  6. 漏洞风险评估:CVSS介绍及计算

    CVSS 通用弱点评价体系(CVSS)是由NIAC开发.FIRST维护的一个开放并且能够被产品厂商免费采用的标准.利用该标准,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级. CVSS : ...

  7. Phpwind v9.0 存储型xss跨站漏洞

    漏洞版本: Phpwind v9.0 漏洞描述: Phpwind专注于中小网站应用的整合和价值的发掘,我们认为,以社区为网站的基础,可以提供丰富的应用,满足人们获取信息.交流.娱乐.消费等生活需求.获 ...

  8. phpMyAdmin <= 4.0.4.1 import.php GLOBALS变量注入漏洞

    漏洞版本: phpMyAdmin <= 4.0.4.1 漏洞描述: CVE(CAN) ID: CVE-2013-4729 phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创 ...

  9. ThinkPHP 小于5.0.24 远程代码执行高危漏洞 修复方案

    漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell. 漏洞评级严重 影响版本ThinkPHP 5.0系列 < ...

随机推荐

  1. 听说你还不会用Dagger2?Dagger2 For Android最佳实践教程

    前言 Dagger2是现在非常火的一个依赖注入框架,目前由Google维护,在Github上面已经有12K star了.Dagger2的入门门槛其实是比较高的,据了解,目前有很多Android工程师对 ...

  2. Java中当前对象引用

    题: 计算机画图时,有点的概念,每个点由它的横坐标x 和 纵坐标 y 描述. 写一个类. 求两个点之间的曼哈顿距离 = 横向距离 + 纵向距离 例如,一个点(0,0) 和另一个点(1,1)的曼哈顿距离 ...

  3. win10下解压版mysql-8.0.12安装教程

    内容转载于:https://blog.csdn.net/hust_hqq/article/details/80572133 在他之上添加了一个:服务名无效的解决方法 1.官网下载安装包 网址:http ...

  4. udev和devfs的区别

    devfs(设备文件系统)是由Linux2.4内核引入的,它的出现主要使得设备驱动程序能够自主管理自己的设备文件.具体来说,devfs具有如下优点: 可以通过程序在设备初始化时在/dev目录下创建设备 ...

  5. win10锁屏或睡眠一段时间后弹不出登录框

    win10锁屏或睡眠一段时间后弹不出登录框 文:铁乐与猫 通常发生在win10更新到10周年版后发生,也就是会卡在登录状态,但不见输入登录框. 我出现这种情况的时候不是很严重,一般等久些也能出现,但问 ...

  6. 6.3Pytyhon文件的操作(三)

    目录 目录 前言 (一)文件的创建 (二)文件的删除 (三)文件的重命名 (四)文件的查看 (五)文件的复制 ==1.小文件的复制== ==2.大文件的复制== (六)文件的实战案例 ==1.文件的分 ...

  7. 30个最常用的Linux系统命令行

    1.cd命令这是一个非常基本,也是大家经常需要使用的命令,它用于切换当前目录,它的参数是要切换到的目录的路径,可以是绝对路径,也可以是相对路径.如:cd /root/Docements # 切换到目录 ...

  8. book118免费下载文档方法【转】

    需要用的工具: 1.360浏览器 2.点"全屏预览",然后把鼠标放在"下载该文档",右键"审查元素",找到 途中箭头指向的标签(如图) 3. ...

  9. Shiro-Subject 分析

    Subject反正就好像呈现的视图.所有Subject 都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager:可以把Subject认为是一个门面: ...

  10. [原创]Javascript模拟“类”的综合实现方式以及部分细节【截至ES6】

    [原创]Javascript模拟“类”的综合实现方式以及部分细节[截至ES6] 前言   最近几个旧项目里使用的图片编辑插件出现Bug, 经Review 后确定需要在其内外均做些改动,但是头疼的发现部 ...