本文目录导读:

CVSS(通用漏洞评分系统,Common Vulnerability Scoring System)目前最新版本是 CVSS v3.1(v4.0 已发布但仍在过渡期),其严重程度评定分为两步:计算基础分数,然后映射为等级。
核心计算流程
CVSS 分数由三个指标组构成,但最常见的 基础分(Base Score) 就决定了漏洞的固有严重性,你日常看到的漏洞评分(如 7.8、9.8)指的就是基础分。
基础分由两个子分数决定:
- 可利用性(Exploitability):攻击者利用漏洞的难易程度,由网络、复杂度、权限、交互等指标计算(分数越高越容易利用)。
- 影响(Impact):漏洞成功利用后对机密性、完整性、可用性的损害程度(分数越高损害越重)。
核心计算公式(简化理解):
- 影响子分数 <= 0:基础分 = 0
- 影响子分数 > 0:基础分 =
min(影响子分数 + 可利用性子分数, 10)
(实际计算涉及更复杂的边界条件处理,例如对“范围改变 Scope Changed”的特殊加权。)
严重程度等级映射
计算出 0 ~ 10.0 的基础分后,按照以下表映射为定性等级:
| 严重程度等级 | 基础分数范围 |
|---|---|
| 无(None) | 0 |
| 低(Low) | 1 – 3.9 |
| 中(Medium) | 0 – 6.9 |
| 高(High) | 0 – 8.9 |
| 严重(Critical) | 0 – 10.0 |
注意: CVSS v4.0 将分数段划分做了微调,但 v3.1 目前仍是业界主流标准。
一个简易示例(模拟计算)
假设某漏洞:
- 攻击向量:网络(可利用性得分高,如 0.85)
- 攻击复杂度:低(得分高,如 0.77)
- 权限要求:无(得分高,如 0.85)
- 用户交互:无(得分高,如 0.85)
- 影响(机密性/完整性/可用性):全部为高(得分极高)
- 范围:未改变(无额外加权)
最终基础分 ≈ 8
严重程度:严重(Critical)
其他影响分数的因素(可选)
虽然日常看基础分,但完整 CVSS 还包括:
- 时间分(Temporal):考虑漏洞是否已公开、是否有补丁、是否有可用利用代码,随时间变化。
- 环境分(Environmental):根据你自身系统环境(如资产重要性、安全配置)进行微调,决定应优先修复哪个。
先根据 CVSS 公式算出 0~10 的分数,然后套入上表看落在哪个区间。0+ Critical,7.0 ~ 8.9 是 High,4.0 ~ 6.9 是 Medium,3.9 以下 Low。