易损分量CVSS评分

Question

如何映射易受攻击组件的CVSS分数？你用CVE CVSS评分吗？你再算一次吗？

例如:主机使用具有CVE的组件进行高漏洞攻击。

您是将其报告为高漏洞(如CVE)，还是采取其他方法？

Answer 1

CVSS的分数不是根据某物是否活跃而计算的。如果一个版本的软件存在漏洞，那么它不会因为你自己无法利用它而消失。CVSS的工作方式是从0到10不等，这取决于各种因素。这些因素包括可利用性度量(访问向量、攻击的复杂性和所需的身份验证)、影响度量(机密性、可用性、完整性)和时间度量(可利用性、补救级别、报告可信度)。分数的基础是利用它有多容易，使用什么样的身份验证来保护它，以及访问的容易程度(直接从互联网，或者必须坐在机器前面)。

https://nvd.nist.gov/vuln-metrics/cvss

https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator

回到您最初的问题，总体得分将完全相同，因为虽然您的系统可能是一个例外，如果这个漏洞是不可利用的，但绝大多数系统仍然是脆弱的。CVEs也是建立在科学研究的基础上，并在各种条件下反复进行，以确定应该如何评分。

此外:对于高漏洞的报告软件，如果您认为它不会被利用，请向您的主管证明它是正当的，或者至少告诉他正在发生的事情，然后创建一份备忘录或某种文件，说明已评估了该漏洞的风险，并且该系统不存在被CVE利用的风险，因此接受该风险。