- 攻撃ベクター (AV:N)
- インターネットや社内 WAN など、ルーティングされたネットワーク越しに遠隔から踏み台にしうる。
- 攻撃の複雑さ (AC:L)
- 手順が短く、再現性が高い。
- 攻撃要件 (AT:P)
- 特定のミドルウェア状態やデータ配置など、追加前提が揃わないと成立しない。
- 必要な権限 (PR:N)
- 昇格やログインなしで踏み台にしうる。
- ユーザーの関与 (UI:A)
- 設定変更やマクロ有効化など、意図的な操作がトリガーになる。
- 脆弱システムの機密性への影響 (VC:L)
- 一部のデータや属性が漏えいしうるが、事業全体としては限定的。
- 脆弱システムの完全性への影響 (VI:L)
- レコードや設定の一部が歪められうるが、システム全体の信頼は保たれやすい。
- 脆弱システムの可用性への影響 (VA:L)
- 遅延や断続的障害、一部機能の停止など、運用で吸収しうる範囲。
- 後続システムの機密性への影響 (SC:N)
- 脆弱点を経由して下流の機微情報が読まれうる余地はほとんどない。
- 後続システムの完全性への影響 (SI:N)
- 下流の記録や設定が歪められる局面はほとんど想定されない。
- 後続システムの可用性への影響 (SA:N)
- 下流サービスが止まるほどの影響は想定しにくい。