CVSS对漏洞的评价主要分三个部分,一是基本评价,二是临时评价,又叫生命周期评价,三是环境评价,下面针对这三类详细说明。
1 基本评价
基本评价主要涉及到攻击途径、攻击复杂度、攻击过程认证、机密性影响、完整性影响、可用性影响。
1.1 攻击途径
主要从发起攻击的物理位置角度描述,比如是否需要内网才能发起攻击等。详细取值如下:
1.2 攻击复杂度
攻击复杂度主要是从攻击是否需要具备一些特定条件的角度进行描述的,详细如下:
1.3 攻击认证
攻击认证主要是从攻击过程中对认证的需求进行描述。
1.4 机密性影响
机密性影响主要是从漏洞攻击后,主机机密信息泄漏的程度进行描述。
1.5 完整性影响
完整性影响主要是从漏洞攻击后,主机遭受破坏的程度进行描述的。
1.6 可用性影响
可用性影响主要是从漏洞攻击后,主机等是否可用进行描述的。
2 临时评价
临时评价主要是从漏洞有没有现成的攻击利用模块、有没有提供修复方案、报告漏洞的来源的可信度等。
2.1 利用代码
2.2 修复措