- 攻撃ベクター (AV:N)
- インターネットや社内 WAN など、ルーティングされたネットワーク越しに遠隔から踏み台にしうる。
- 攻撃の複雑さ (AC:L)
- 手順が短く、再現性が高い。
- 攻撃要件 (AT:N)
- 到達性以外に、追加のインフラ条件やデータ前提は要らない。
- 必要な権限 (PR:N)
- 昇格やログインなしで踏み台にしうる。
- ユーザーの関与 (UI:N)
- 被害者の操作なしでも攻撃が完結しうる。
- 脆弱システムの機密性への影響 (VC:N)
- 脆弱な対象から機微情報が読まれうる余地はほとんどない。
- 脆弱システムの完全性への影響 (VI:N)
- 改ざん・なりすましで信頼が揺らぐ局面はほとんど想定されない。
- 脆弱システムの可用性への影響 (VA:N)
- 業務を止めるほどの停止や劣化は想定しにくい。
- 後続システムの機密性への影響 (SC:L)
- 下流の一部資産について限定的な漏えいが起きうる。
- 後続システムの完全性への影響 (SI:L)
- 下流の一部コンポーネントで改ざんが起きうるが、全体信頼は保たれやすい。
- 後続システムの可用性への影響 (SA:L)
- 下流で遅延や部分停止が起きうるが、運用で緩和しやすい。
- 悪用の成熟度(Threat) (E:P)
- 再現手順や PoC は公開されているが、実害報告や自動化キットはない。