一文读懂通用漏洞评分系统CVSS4.0：顺带理清CVE、CWE及其与CVSS之间的关系

事件响应和安全团队论坛 (FIRST，Forum of Incident Response and Security Teams) 于 2023 年 11 月 1 日正式推出第四版通用漏洞评分系统 (CVSS 4.0，Common Vulnerability Scoring System version 4.0)。CVSS 4.0 是评估计算机系统安全漏洞严重性的行业标准，是对之前版本 CVSS 的重大更新，带来了一些变化，这些变化将影响组织评估漏洞和确定漏洞优先级的方式。

1. 背景

1.1. 什么是软件漏洞？

在计算机科学中，漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。

1.2. 什么是通用漏洞披露CVE？

CVE全称是Common Vulnerabilities and Exposures，即通用漏洞披露，它是MITRE公司维护和更新的安全漏洞列表，列表中的每个条目都会有一个唯一的CVE编号，即CVE ID，供安全研究员和受攻击的软件供应商使用，以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据（即简要描述和至少一个参考）。

CVE 由 MITRE 公司于 1999 年与美国国土安全部 (DHS) 和美国网络安全和基础设施安全局 (CISA) 合作创立。

CVE 条目通常会包含一些有关漏洞的基本信息，用于管理信息安全风险。这些包括：

• 漏洞的描述：包括受影响的软件、漏洞的潜在影响以及缓解步骤等信息
• 严重性评分：基于漏洞被利用后的潜在影响，通过CVSS来评估
• 对其他信息来源的引用

通过使用 CVE 系统，组织可以识别漏洞、确定优先级并缓解漏洞。

若想了解更多关于CVE的细节，可以参阅博主前期文章《 「 网络安全常用术语解读 」通用漏洞披露CVE详解》

1.3. 通用缺陷枚举CWE

通用缺陷枚举 (CWE，Common Weakness Enumeration) 是对可能导致漏洞的软件弱点进行分层分类，这些弱点被归为 CWE。CWE 也由 MITRE 维护，并由 DHS 和 CISA 办公室赞助，并得到 US-CERT 和 DHS 国家网络安全部门的支持。

• 每个 CWE 条目都分配有一个唯一的标识符，并包含有关弱点的信息，例如其类型、潜在后果和缓解技术。

• CWE 有 600 多个类别，包括缓冲区溢出、路径/目录树遍历错误、竞争条件、跨站点脚本、硬编码密码和不安全随机数的类。

  

若想了解更多关于CVE的细节，可以参阅博主前期文章《 「 网络安全常用术语解读 」通用缺陷枚举CWE详解》

1.4. 如何衡量漏洞的严重性

衡量漏洞的严重性对于确定修复工作的优先顺序和有效管理网络安全风险至关重要。有几个因素可能会影响漏洞的严重性，包括其严重性、可利用性和潜在影响：

• 漏洞严重程度：是指漏洞利用可能造成的潜在危害。通用漏洞评分系统 (CVSS) 是一种广泛使用的用于评估漏洞严重性的框架。
• 漏洞可利用性：是指攻击者利用漏洞的难易程度。影响可利用性的因素包括公共利用的可用性、所需的攻击者技能水平以及对特殊权限或条件的需求。
• 潜在影响：是指漏洞被利用后可能造成的危害程度。这种影响可以通过多种方式来衡量，例如运营中断、财务损失、声誉损害或法律和监管后果。

2. 什么是CVSS？

通用漏洞评分系统（CVSS）是一个开放的行业标准，用于评估计算机系统安全漏洞的严重性。它提供了一种通用语言来描述漏洞的特征和影响，使安全专业人员和组织之间更容易共享和比较漏洞信息。该系统由美国国家基础设施咨询委员会 (NIAC) 于 2005 年开发，但后来转移到事件响应和安全团队论坛 (FIRST)，该论坛现在负责维护和更新评分系统。

CVSS 基于三组指标：基础指标、时间指标和环境指标。

若想了解更多关于CVSS的细节，可以参阅如下官方文档：

• cvss-v40-specification.pdf (访问密码: 6277，共40页)

2.1. 基础指标

基础指标评估漏洞的固有特征，包括以下标准：

• 利用潜力：漏洞被成功利用的可能性。
• 访问向量：攻击者访问易受攻击的系统或组件的难易程度。
• 影响：利用漏洞的潜在后果，例如丧失机密性、完整性或可用性。

2.2. 时间指标

时间指标反映了漏洞随时间变化的性质，包括以下标准：

• 利用代码可用性：该漏洞是否存在公开可用的利用代码。
• 补救措施是否存在：是否有补丁或修复程序可用于解决漏洞。
• 置信度：对漏洞信息准确性的置信度。

2.3. 环境指标

环境指标考虑组织 IT 环境中漏洞的具体环境，并包括以下标准：

• 潜在的附带损害：利用漏洞对其他系统或组件造成意外损害的可能性。
• 目标分布：组织 IT 环境中易受攻击的系统或组件的普遍程度。
• 影响修正：可能影响漏洞影响的其他因素，例如组织的安全状况和受影响资产的价值。

CVSS 根据这些指标分配严重性评分。 CVSS 分数越高表示漏洞越严重。 CVSS 分数可用于确定漏洞修复工作的优先级，并就减轻网络安全风险做出明智的决策。

3. CVSS 4.0 变化点？

CVSS 标准的最新修订版是在上一版本 CVSS 3.1 推出四年后发布的。

• 它旨在解决 CVSS 3.1 的一些缺陷，例如普遍缺乏评估漏洞严重性的粒度以及无法解决工业控制系统 (ICS) 问题。

• CVSS 4.0 提供了漏洞评估的补充指标，例如安全性 (S)、可自动化性 (A)、恢复性 ®、价值密度 (V)、漏洞响应努力 (RE) 和提供商紧急性 (U)。

• 引入了一种新的命名法，使用基础 (CVSS-B)、基础 + 威胁 (CVSS-BT)、基础 + 环境 (CVSS-BE) 和基础 + 威胁 + 环境 (CVSS-BTE) 的组合来枚举 CVSS 分数严重程度评级。

  FIRST表示此种命名法强化CVSS不仅仅是基本分数的概念，只要显示或传达CVSS数字值，就应该使用这种命名法。CVSS基本分数应辅以对环境的分析(环境指标)以及可能随时间变化的属性(威胁指标)。

  

4. 参考

[1] https://www.infosecurity-magazine.com/news-features/navigating-vulnerability-maze-cve/
[2] https://www.first.org/cvss/v4-0/

---

推荐阅读：

• 「 网络安全常用术语解读 」软件物料清单SBOM详解
• 「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
• 「 网络安全常用术语解读 」SBOM主流格式SPDX详解
• 「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
• 「 网络安全常用术语解读 」漏洞利用交换VEX详解
• 「 网络安全常用术语解读 」软件成分分析SCA详解：从发展背景到技术原理再到业界常用检测工具推荐
• 「 网络安全常用术语解读 」什么是0day、1day、nday漏洞
• 「 网络安全常用术语解读 」软件物料清单SBOM详解
• 「 网络安全常用术语解读 」杀链Kill Chain详解
• 「 网络安全常用术语解读 」点击劫持Clickjacking详解
• 「 网络安全常用术语解读 」悬空标记注入详解
• 「 网络安全常用术语解读 」内容安全策略CSP详解
• 「 网络安全常用术语解读 」同源策略SOP详解
• 「 网络安全常用术语解读 」静态分析结果交换格式SARIF详解
• 「 网络安全常用术语解读 」安全自动化协议SCAP详解
• 「 网络安全常用术语解读 」通用平台枚举CPE详解
• 「 网络安全常用术语解读 」通用缺陷枚举CWE详解
• 「 网络安全常用术语解读 」通用漏洞披露CVE详解
• 「 网络安全常用术语解读 」通用配置枚举CCE详解
• 「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解
• 「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解
• 「 网络安全常用术语解读 」通用安全通告框架CSAF详解
• 「 网络安全常用术语解读 」漏洞利用交换VEX详解
• 「 网络安全常用术语解读 」软件成分分析SCA详解：从发展背景到技术原理再到业界常用检测工具推荐
• 「 网络安全常用术语解读 」通用攻击模式枚举和分类CAPEC详解
• 「 网络安全常用术语解读 」网络攻击者的战术、技术和常识知识库ATT&CK详解