- 攻擊向量 (AV:N)
- 可經網際網路或企業可路由網段遠端觸達,攻擊者不必在裝置旁邊。
- 攻擊複雜度 (AC:L)
- 步驟短、路徑清楚,重現成本低。
- 攻擊要件 (AT:N)
- 除網路可達外,不必額外湊齊罕見基礎設施或資料形態。
- 權限需求 (PR:N)
- 匿名或一般工作階段即可起步,不必事先提權。
- 使用者互動 (UI:N)
- 不必受害者點連結、放行巨集或安裝軟體,攻擊鏈可自動走完。
- 受影響系統的機密性影響 (VC:N)
- 從被攻破的元件幾乎讀不走有價值的機密資料。
- 受影響系統的完整性影響 (VI:L)
- 能改局部紀錄或設定,稽核上麻煩,但尚不致整體資料失信。
- 受影響系統的可用性影響 (VA:L)
- 可能出現明顯延遲、間歇故障或局部功能不可用,但可用維運手段緩解。
- 後續系統的機密性影響 (SC:N)
- 經脆弱點波及下游後,幾乎讀不走有價值的機密資料。
- 後續系統的完整性影響 (SI:N)
- 下游紀錄與業務規則幾乎不被撼動。
- 後續系統的可用性影響 (SA:N)
- 下游不至於被拖到長時間癱瘓。
- 利用成熟度(Threat) (E:X)
- 未給出威脅情資時,依「最壞側」(等同已遭利用)計分。
- 機密性安全需求(環境) (CR:X)
- 未指定時視為資訊不足,評分依高要求(保守)處理。
- 完整性安全需求(環境) (IR:X)
- 未指定時視為資訊不足,評分依高要求(保守)處理。
- 可用性安全需求(環境) (AR:X)
- 未指定時視為資訊不足,評分依高要求(保守)處理。
- 修改後的攻擊向量 (MAV:X)
- 環境未覆蓋時,沿用基準 AV。
- 修改後的攻擊複雜度 (MAC:X)
- 環境未覆蓋時,沿用基準 AC。
- 修改後的攻擊要件 (MAT:X)
- 環境未覆蓋時,沿用基準 AT。
- 修改後的權限需求 (MPR:X)
- 環境未覆蓋時,沿用基準 PR。
- 修改後的使用者互動 (MUI:X)
- 環境未覆蓋時,沿用基準 UI。
- 修改後的受影響系統機密性影響 (MVC:X)
- 環境未覆蓋時,沿用基準 VC。
- 修改後的受影響系統完整性影響 (MVI:X)
- 環境未覆蓋時,沿用基準 VI。
- 修改後的受影響系統可用性影響 (MVA:X)
- 環境未覆蓋時,沿用基準 VA。
- 修改後的後續系統機密性影響 (MSC:X)
- 環境未覆蓋時,沿用基準 SC。
- 修改後的後續系統完整性影響 (MSI:X)
- 環境未覆蓋時,沿用基準 SI。
- 修改後的後續系統可用性影響 (MSA:X)
- 環境未覆蓋時,沿用基準 SA。
- 安全性(補充,不改變數值分) (S:X)
- 未評估人的安全後果。
- 可自動化(補充,不改變數值分) (AU:X)
- 未評估自動化程度。
- 復原(補充,不改變數值分) (R:X)
- 未評估復原路徑。
- 價值密度(補充,不改變數值分) (V:X)
- 未評估單事件掌握資產規模。
- 漏洞回應工作量(補充,不改變數值分) (RE:X)
- 未評估修補成本。
- 提供方緊急度(補充,不改變數值分) (U:X)
- 未給出廠商色標。