- 攻擊向量 (AV:N)
- 可經網際網路或企業可路由網段遠端觸達,攻擊者不必在裝置旁邊。
- 攻擊複雜度 (AC:L)
- 步驟短、路徑清楚,重現成本低。
- 攻擊要件 (AT:N)
- 除網路可達外,不必額外湊齊罕見基礎設施或資料形態。
- 權限需求 (PR:L)
- 一般使用者權限足夠,不必管理員/root。
- 使用者互動 (UI:N)
- 不必受害者點連結、放行巨集或安裝軟體,攻擊鏈可自動走完。
- 受影響系統的機密性影響 (VC:H)
- 面向大量竊取、長期潛伏或橫向搬運機密資料,在實務上成立。
- 受影響系統的完整性影響 (VI:H)
- 可竄改稽核鏈、植入後門或大面積偽造業務資料,動搖信任根基。
- 受影響系統的可用性影響 (VA:H)
- 可造成長時間中斷、關鍵交易無法完成,或伴隨資料毀損導致難以自癒。
- 後續系統的機密性影響 (SC:N)
- 經脆弱點波及下游後,幾乎讀不走有價值的機密資料。
- 後續系統的完整性影響 (SI:N)
- 下游紀錄與業務規則幾乎不被撼動。
- 後續系統的可用性影響 (SA:N)
- 下游不至於被拖到長時間癱瘓。
- 利用成熟度(Threat) (E:P)
- PoC、指令稿或示範已公開,但未見成規模的實戰濫用與工具化。
- 機密性安全需求(環境) (CR:X)
- 未指定時視為資訊不足,評分依高要求(保守)處理。
- 完整性安全需求(環境) (IR:X)
- 未指定時視為資訊不足,評分依高要求(保守)處理。
- 可用性安全需求(環境) (AR:X)
- 未指定時視為資訊不足,評分依高要求(保守)處理。
- 修改後的攻擊向量 (MAV:X)
- 環境未覆蓋時,沿用基準 AV。
- 修改後的攻擊複雜度 (MAC:X)
- 環境未覆蓋時,沿用基準 AC。
- 修改後的攻擊要件 (MAT:X)
- 環境未覆蓋時,沿用基準 AT。
- 修改後的權限需求 (MPR:X)
- 環境未覆蓋時,沿用基準 PR。
- 修改後的使用者互動 (MUI:X)
- 環境未覆蓋時,沿用基準 UI。
- 修改後的受影響系統機密性影響 (MVC:X)
- 環境未覆蓋時,沿用基準 VC。
- 修改後的受影響系統完整性影響 (MVI:X)
- 環境未覆蓋時,沿用基準 VI。
- 修改後的受影響系統可用性影響 (MVA:X)
- 環境未覆蓋時,沿用基準 VA。
- 修改後的後續系統機密性影響 (MSC:X)
- 環境未覆蓋時,沿用基準 SC。
- 修改後的後續系統完整性影響 (MSI:X)
- 環境未覆蓋時,沿用基準 SI。
- 修改後的後續系統可用性影響 (MSA:X)
- 環境未覆蓋時,沿用基準 SA。
- 安全性(補充,不改變數值分) (S:X)
- 未評估人的安全後果。
- 可自動化(補充,不改變數值分) (AU:X)
- 未評估自動化程度。
- 復原(補充,不改變數值分) (R:X)
- 未評估復原路徑。
- 價值密度(補充,不改變數值分) (V:X)
- 未評估單事件掌握資產規模。
- 漏洞回應工作量(補充,不改變數值分) (RE:X)
- 未評估修補成本。
- 提供方緊急度(補充,不改變數值分) (U:X)
- 未給出廠商色標。