- 攻击向量 (AV:N)
- 经互联网或企业可路由网段即可远程触达,攻击者不必出现在设备旁。
- 攻击复杂度 (AC:L)
- 步骤短、路径清晰,复现成本低。
- 攻击要求 (AT:N)
- 除网络可达外,不必额外凑齐罕见基础设施或数据形态。
- 权限要求 (PR:N)
- 匿名或普通会话即可起步,不必事先提权。
- 用户交互 (UI:N)
- 无需受害者点击、放行宏或安装软件,攻击链可自动走完。
- 受影响系统的机密性影响 (VC:N)
- 从被攻破的组件几乎读不走有价值的机密数据。
- 受影响系统的完整性影响 (VI:L)
- 能改局部记录或配置,审计上麻烦,但尚不致整体数据失信。
- 受影响系统的可用性影响 (VA:L)
- 可能出现明显延迟、间歇故障或局部功能不可用,但可用运维手段缓解。
- 后续系统的机密性影响 (SC:N)
- 经脆弱点波及下游后,几乎读不走有价值的机密数据。
- 后续系统的完整性影响 (SI:N)
- 下游记录与业务规则几乎不被撼动。
- 后续系统的可用性影响 (SA:N)
- 下游不至于被拖到长时间瘫痪。
- 利用成熟度(Threat) (E:X)
- 未给出威胁情报时,按“最坏侧”(等同已遭利用)计分。
- 机密性安全需求(环境) (CR:X)
- 未指定时视为信息不足,评分按高要求(保守)处理。
- 完整性安全需求(环境) (IR:X)
- 未指定时视为信息不足,评分按高要求(保守)处理。
- 可用性安全需求(环境) (AR:X)
- 未指定时视为信息不足,评分按高要求(保守)处理。
- 修改后的攻击向量 (MAV:X)
- 环境未覆盖时,沿用基准 AV。
- 修改后的攻击复杂度 (MAC:X)
- 环境未覆盖时,沿用基准 AC。
- 修改后的攻击要求 (MAT:X)
- 环境未覆盖时,沿用基准 AT。
- 修改后的权限要求 (MPR:X)
- 环境未覆盖时,沿用基准 PR。
- 修改后的用户交互 (MUI:X)
- 环境未覆盖时,沿用基准 UI。
- 修改后的受影响系统机密性影响 (MVC:X)
- 环境未覆盖时,沿用基准 VC。
- 修改后的受影响系统完整性影响 (MVI:X)
- 环境未覆盖时,沿用基准 VI。
- 修改后的受影响系统可用性影响 (MVA:X)
- 环境未覆盖时,沿用基准 VA。
- 修改后的后续系统机密性影响 (MSC:X)
- 环境未覆盖时,沿用基准 SC。
- 修改后的后续系统完整性影响 (MSI:X)
- 环境未覆盖时,沿用基准 SI。
- 修改后的后续系统可用性影响 (MSA:X)
- 环境未覆盖时,沿用基准 SA。
- 安全性(补充,不改变数值分) (S:X)
- 未评估人的安全后果。
- 可自动化(补充,不改变数值分) (AU:X)
- 未评估自动化程度。
- 恢复(补充,不改变数值分) (R:X)
- 未评估恢复路径。
- 价值密度(补充,不改变数值分) (V:X)
- 未评估单事件掌握资产规模。
- 漏洞响应工作量(补充,不改变数值分) (RE:X)
- 未评估修复成本。
- 提供方紧急度(补充,不改变数值分) (U:X)
- 未给出厂商色标。