CVSS 3.0 计算公式及说明
一、基础评价
1. 基础评价公式为:
当 影响度分值 <= 0: 基础分值 = 0
当 0 < 影响度分值 + 可利用度分值 < 10:
作用域 = 固定: 基础分值 = Roundup(影响度分值 + 可利用度分值)
作用域 = 变化: 基础分值 = Roundup[1.08 × (影响度分值 + 可利用度分值)]
当 影响度分值 + 可利用度分值 > 10:基础分值 = 10
Roundup 保留小数点后一位,小数点后第二位大于零则进一。 例如, Roundup(4.02) = 4.1; 或者 Roundup(4.00) = 4.0
说明:
漏洞 = 受影响组件 + 脆弱组件
Base metrics 基础评价: 基础评价表示一个漏洞的内在特征,该漏洞随时间和跨用户环境保持不变。它由两组指标组成: 可利用度 和 影响度。
The Base metric group represents the intrinsic characteristics of a vulnerability that are constant over time and across user environments. It is composed of two sets of metrics: the Exploitability metrics and the Impact metrics.
Impact metrics 影响度评价(ISC): 影响度评价反映漏洞被成功利用所造成的直接后果,并表示 受影响组件(Impacted component)的情况。
The Impact metrics reflect the direct consequence of a successful exploit, and represent the consequence to the thing that suffers the impact, which we refer to formally as the impacted component.
Exploitability metrics 可利用度评价: 可利用度评价反映可利用漏洞的易利用性和技术手段难易度。 表示脆弱组件(vulnerable component)受攻击的难易程度。
The Exploitability metrics reflect the ease and technical means by which the vulnerability can be exploited. That is, they represent characteristics of the thing that is vulnerable, which we refer to formally as the vulnerable component.
Scope 影响范围: CVSS3.0版计算的一个重要属性,反映软件组件中的漏洞会否影响其以外的资源或获得其以外的权限。这一结果由度量值 授权域 或 简单域表示。
An important property captured by CVSS v3.0 is the ability for a vulnerability in one software component to impact resources beyond its means, or privileges. This consequence is represented by the metric Authorization Scope, or simply Scope.
取值范围:unchanged(U) 固定:被利用的漏洞只能影响由同一当局管理的资源。在这种情况下,脆弱组件 和 受影响组件是同一个。
changed(C) 变化:被利用的漏洞可能会影响超出脆弱组件预期授权权限的资源。在这种情况下,脆弱组件和受影响组件并非同一个。
2.影响度分值计算公式为:
当 作用域 = 固定: 影响度分值 = 6.42 × ISCbase
当 作用域 = 变化&#x