- 攻击向量 (AV:N)
- 经互联网或企业可路由网段即可远程触达,攻击者不必出现在设备旁。
- 攻击复杂度 (AC:L)
- 步骤短、路径清晰,复现成本低。
- 攻击要求 (AT:N)
- 除网络可达外,不必额外凑齐罕见基础设施或数据形态。
- 权限要求 (PR:L)
- 一般用户权限足够,不必管理员/root。
- 用户交互 (UI:N)
- 无需受害者点击、放行宏或安装软件,攻击链可自动走完。
- 受影响系统的机密性影响 (VC:H)
- 面向批量窃取、长期潜伏或横向搬运机密数据,在实战上成立。
- 受影响系统的完整性影响 (VI:H)
- 可篡改审计链、植入后门或大面积伪造业务数据,动摇信任根基。
- 受影响系统的可用性影响 (VA:H)
- 可造成长时间中断、关键事务无法完成,或伴随数据损毁导致难以自愈。
- 后续系统的机密性影响 (SC:N)
- 经脆弱点波及下游后,几乎读不走有价值的机密数据。
- 后续系统的完整性影响 (SI:N)
- 下游记录与业务规则几乎不被撼动。
- 后续系统的可用性影响 (SA:N)
- 下游不至于被拖到长时间瘫痪。
- 利用成熟度(Threat) (E:P)
- PoC、脚本或演示已公开,但未见成规模的实战滥用与工具化。
- 机密性安全需求(环境) (CR:X)
- 未指定时视为信息不足,评分按高要求(保守)处理。
- 完整性安全需求(环境) (IR:X)
- 未指定时视为信息不足,评分按高要求(保守)处理。
- 可用性安全需求(环境) (AR:X)
- 未指定时视为信息不足,评分按高要求(保守)处理。
- 修改后的攻击向量 (MAV:X)
- 环境未覆盖时,沿用基准 AV。
- 修改后的攻击复杂度 (MAC:X)
- 环境未覆盖时,沿用基准 AC。
- 修改后的攻击要求 (MAT:X)
- 环境未覆盖时,沿用基准 AT。
- 修改后的权限要求 (MPR:X)
- 环境未覆盖时,沿用基准 PR。
- 修改后的用户交互 (MUI:X)
- 环境未覆盖时,沿用基准 UI。
- 修改后的受影响系统机密性影响 (MVC:X)
- 环境未覆盖时,沿用基准 VC。
- 修改后的受影响系统完整性影响 (MVI:X)
- 环境未覆盖时,沿用基准 VI。
- 修改后的受影响系统可用性影响 (MVA:X)
- 环境未覆盖时,沿用基准 VA。
- 修改后的后续系统机密性影响 (MSC:X)
- 环境未覆盖时,沿用基准 SC。
- 修改后的后续系统完整性影响 (MSI:X)
- 环境未覆盖时,沿用基准 SI。
- 修改后的后续系统可用性影响 (MSA:X)
- 环境未覆盖时,沿用基准 SA。
- 安全性(补充,不改变数值分) (S:X)
- 未评估人的安全后果。
- 可自动化(补充,不改变数值分) (AU:X)
- 未评估自动化程度。
- 恢复(补充,不改变数值分) (R:X)
- 未评估恢复路径。
- 价值密度(补充,不改变数值分) (V:X)
- 未评估单事件掌握资产规模。
- 漏洞响应工作量(补充,不改变数值分) (RE:X)
- 未评估修复成本。
- 提供方紧急度(补充,不改变数值分) (U:X)
- 未给出厂商色标。