了解CVSS中访问复杂性的正确方法是什么？

Question

我读过NVD(https://nvd.nist.gov/CVSS/v2-calculator)的访问复杂性，

存取复杂度

此度量度量攻击者一旦访问目标系统就利用该漏洞所需的攻击的复杂性。媒体(M)：在成功发动攻击之前，必须收集一些信息。低(L)：攻击可以手动进行，几乎不需要技巧或额外的信息收集。

我有一个问题:如果一个漏洞很难被发现，并且攻击者需要首先收集某些信息，但是该漏洞很容易被利用。如果本例中的访问复杂性度量是“低”的，那么它是否合理？

Answer 1

访问复杂度是CVSS v2中一个非常过载和主观的度量。当它被应用时，不可能从社会工程、种族条件、不寻常的配置、攻击者启动权限或其他方面判断它是否用于用户交互。(https://www.first.org/cvss)

你知道去年发布的CVSS第3版吗？

在CVSS版本3中，它现在被重命名为“攻击复杂性”，并且只有两个度量值-低和高。

现在，在两个可能的值之间选择要容易得多。应该注意的是，在评估“攻击复杂性”参数时，不应考虑任何“用户交互”。CVSS有一个名为“用户交互”的新参数来整合这一点。

Low (AC)：如果攻击者可以利用任何时间(反射XSS)

高级(AC)：存在一些攻击者无法控制的情况。(比如需要MITM攻击的Poodle攻击)