- 综合排序
- 最热优先
- 最新优先
解读CVSS:帮助IT管理者更准确理解漏洞风险
CVSS是什么?CVSS(通用漏洞评分系统)是评估安全漏洞严重程度的标准化系统,现由FIRST组织管理。该标准允许跨厂商比较不同产品的漏洞风险,其规范文档和计算工具均公开可用。 CVSS评估框架基本指标(Base Score)评估漏洞固有特性,包含以下维度:攻击向量(AV) 网络(N):可通过互联网远程攻击(如特制网页触发任意代码执行)邻接(A):需本地子网或蓝牙访问(如Hyper-V Environmental Score)根据实际环境调整:安全需求(CR/IR/AR):评估机密性/完整性/可用性要求缓解措施影响:调整基本指标参数(如防火墙降低攻击向量等级)微软漏洞实践微软安全更新指南现已全面采用CVSS 3.0评分,每个漏洞条目均包含:详细指标参数(如CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)补充说明(如特定攻击场景)可下载的评估标准图解文档
68710编辑于 2025-08-18- 来自专栏网络安全技术点滴分享
复现MongoDB(CVE-2025-14847)CVSS8.7漏洞攻击
MongoDB的zlib消息解压缩功能中存在一个缺陷,该缺陷会返回已分配的缓冲区大小而非实际的解压数据长度。这使得攻击者能够读取未初始化的内存,具体方式为:
53510编辑于 2026-01-06 - 来自专栏网络安全技术点滴分享
高危漏洞预警:Linux CUPS打印系统曝多个远程代码执行漏洞(CVSS 9.9)
仅限会员阅读的故事:Linux CUPS中的多个漏洞 (CVSS 9.9)多个CUPS漏洞 — Linux CUPS中的远程代码执行 (CVE-2024–47076 / CVE-2024–47175 /
18610编辑于 2026-01-20 - 来自专栏网络安全技术点滴分享
CVSS 10分的ErlangOTP SSH漏洞(CVE-2025-32433)复现详细版
CVE-2025-32433,已被披露,该漏洞影响Erlang/OTP中的SSH服务器实现,可实现未经身份验证的远程代码执行。此问题影响众多依赖Erlang/OTP的产品和服务,强烈建议立即采取行动。
58910编辑于 2025-12-30 - 来自专栏红蓝对抗
HPE OneView 缺陷评级 CVSS 10.0 允许未经身份验证的远程代码执行
该严重漏洞的 CVE 标识符为CVE-2025-37164,CVSS 评分为 10.0。HPE OneView是一款 IT 基础架构管理软件,它通过集中式仪表板界面简化 IT 操作并控制所有系统。
21510编辑于 2025-12-22 - 来自专栏网络安全
Redis 重大远程代码执行漏洞(CVE-2025-49844),CVSS 评分 10 分
该漏洞的 CVSS 评分为 10.0 分(注:部分来源显示评分为 9.9 分,具体取决于信息渠道),属于最高严重级别。 Redis 风险倍增此次披露的 Redis 漏洞 RediShell(CVE-2025-49844)获 CVSS 10.0 分 —— 这一评分极为罕见,过去一年全球仅约 300 个漏洞获此评级,同时它也是首个被评为
6.2K330编辑于 2025-10-09 - 来自专栏网络安全技术点滴分享
React2Shell漏洞深度剖析:CVSS 10.0分RCE漏洞威胁Next.js与React SSR应用
这是一个远程代码执行漏洞,其 CVSS v4.0 评分为 10.0(严重)。 执行摘要漏洞: CVE-2025-55182 ("React2Shell")类型: 不安全反序列化导致远程代码执行严重性: 严重 (CVSS 10.0)FINISHEDCSD0tFqvECLokhw9aBeRquhhETqhoIPbvFxWu0gz9y5cTsJodzmGaiZxx8B5Gsw3MA63zJHHUbznPqIIj00QPc7U8ov0KQvITL
25300编辑于 2026-02-23 - 来自专栏网络安全技术点滴分享
复现n8n RCE(CVE-2025-68613)CVSS 9.9漏洞利用详细版
n8n工作流自动化平台在其工作流表达式评估系统中存在一个严重的任意代码执行漏洞。已登录n8n的用户,可以通过在创建工作流时植入恶意表达式,利用n8n表达式评估系统的缺陷,在服务器上执行任意代码,最终可能接管服务器。
2.4K10编辑于 2026-01-06 - 来自专栏网络安全技术点滴分享
React2Shell危机:CVSS 10.0级反序列化漏洞威胁Next.js SSR生产环境
和 React SSR 面临远程代码执行风险作者:Ashish Sharda 阅读时长:4分钟 · 2025年12月17日 2 Listen 分享针对影响服务端水合(Hydration)的 CVSS 这并非 客户端跨站脚本(XSS)问题,而是一个 远程代码执行(RCE) 漏洞,其 CVSS v4.0 评分高达 10.0(严重)。 执行摘要漏洞编号: CVE-2025–55182 (“React2Shell”)漏洞类型: 不安全的反序列化导致 RCE严重等级: 严重 (CVSS…FINISHEDCSD0tFqvECLokhw9aBeRquhhETqhoIPbvFxWu0gz9y5cTsJodzmGaiZxx8B5Gsw3MA63zJHHUbznPqIIj00QPc7U8ov0KQvITL
17300编辑于 2026-02-19 n8n 严重缺陷(CVSS 9.9)允许在数千个实例中执行任意代码
该漏洞编号为CVE-2025-68613,CVSS 评分为 9.9 分(满分 10 分)。安全研究员Fatih Çelik因发现并报告该漏洞而受到赞誉。
31510编辑于 2025-12-25- 来自专栏FreeBuf
CVID:一款功能强大的CVE漏洞信息收集与下载工具
": "MEDIUM", "CVSS2_availabilityImpact": "NONE", "CVSS2_baseScore": "COMPLETE", "CVSS2_baseSeverity CVSS2_impactScore": "null", "CVSS2_integrityImpact": "8.6", "CVSS2_vectorString": "10", "CVSS3_ attackComplexity": "null", "CVSS3_attackVector": "null", "CVSS3_availabilityImpact": "null", "CVSS3 _baseScore": "null", "CVSS3_baseSeverity": "null", "CVSS3_confidentialityImpact": "null", "CVSS3 _exploitabilityScore": "null", "CVSS3_impactScore": "null", "CVSS3_integrityImpact": "null", "CVSS3
2.6K40编辑于 2023-04-09 - 来自专栏网络安全技术点滴分享
2025年10月补丁星期二:172个漏洞分析与关键修复
参考实现漏洞CVE-2025-2884是一个重要的信息泄露漏洞,影响TCG TPM2.0参考实现,CVSS评分为5.3。 -59230是一个重要的权限提升漏洞,影响Windows远程访问连接管理器,CVSS评分为7.8。 图形组件CVE-2025-49708是一个关键的权限提升漏洞,影响Microsoft图形组件,CVSS评分为9.9。 是一个关键的远程代码执行漏洞,影响Windows服务器更新服务(WSUS),CVSS评分为9.8。 :LibTIFFCVE-2016-9535是一个关键的远程代码执行漏洞,影响LibTIFF,CVSS评分为4.0。
51210编辑于 2025-11-03 - 来自专栏零零实验室
Gartner:VPT技术原理 ——如何确定网络攻击面上的风险优先级
许多组织正在使用传统的方法,如常见漏洞评分系统(CVSS)来尝试对修复漏洞进行优先级排序。大多数企业尝试修复所有高分和关键漏洞(CVSS得分7及以上)。 有些企业可能会选择只集中关注关键漏洞(CVSS评分 为9分及以上)。 “CVSS旨在识别漏洞的技术严重性。相反,人们似乎想知道的是,漏洞或缺陷给他们带来的风险,或者是他们面对漏洞应该有如何的反应速度。 这意味着,对于每10万个漏洞,CVSS规定安全团队必须修复其中的5.6万个漏洞。因此,不难看出,如果使用CVSS,工作负荷就会迅速失控,尤其是考虑到大多数大型企业都有数百万个漏洞。 [图1-CVSS将大多数漏洞评分为高漏洞或严重漏洞.png] 更重要的是,CVSS是一种完全无效的漏洞修复优先级参考方法。这是因为CVSS是没有风险属性的。 [图2-基于CVSS基本分数的可利用性分析.png] 更糟糕的是,将近一半具有短期内可被利用性的漏洞(44%),CVSS基本得分低于7(见图2)。
1.2K20发布于 2021-08-04 - 来自专栏网络安全应急处置库
2026 上半年高危 CVE 漏洞全景速览:1-4 月 TOP 20,你的系统中了几个?
摘要:2026年上半年全球高危漏洞频发,从CVSS10.0的满分漏洞到潜伏18年的NGINX零日漏洞,从AI平台漏洞到供应链攻击。 2026上半年漏洞态势总览总体数据TOP5最危险漏洞排名CVE编号漏洞名称CVSS攻击复杂度影响范围修复紧急度CVE-2026-20131CiscoFMC未授权RCE10.0低10万+实例立即修复CVE 影响产品ClawIO/OpenClaw容器平台漏洞类型沙箱绕过+权限提升影响从容器内逃逸到宿主机Root5.CVE-2026-41940:cPanel认证绕过⭐⭐⭐⭐属性值CVSS9.8影响产品cPanel -8.9)CVE编号漏洞名CVSS影响产品修复紧急度CVE-2026-42779ApacheMINA反序列化RCE9.8ApacheMINA≤2.2.3紧急CVE-2026-42945NGINXrewrite )#2.OpenClaw/cPanel/ApacheMINA(CVSS9.8+)#3.NGINXrewrite模块(潜伏18年,影响面极广)#一键检查NGINX版本nginx-v2>&1|grep-oP
44910编辑于 2026-06-07 OpenClaw Skill 开发实战:从 0 到 1 写一个生产级 CVE 巡检插件
"]:metric_list=metrics.get(metric_key,[])ifmetric_list:cvss_data=metric_list[0].get("cvssData",{})cvss_score =cvss_data.get("baseScore",0.0)cvss_severity=cvss_data.get("baseSeverity","UNKNOWN")attack_vector=cvss_data.get ":cvss_score,"cvss_severity":cvss_severity,"attack_vector":attack_vector,"cpes":cpes,"references":references ":cve["cvss_score"],"cvss_severity":cve["cvss_severity"],"attack_vector":cve.get("attack_vector","UNKNOWN ","cvss_score":5.5,"cvss_severity":"MEDIUM","attack_vector":"LOCAL","description":"LowseverityCVE","cpes
42911编辑于 2026-05-26用 OpenClaw + Skill 打造 CVE 安全风险自动巡检 Agent:从手动排查到智能风控的实战之路
=metrics.get("cvssMetricV31",[])cvss_score=0.0cvss_severity="UNKNOWN"ifcvss_v31:cvss_data=cvss_v31[0] .get("cvssData",{})cvss_score=cvss_data.get("baseScore",0.0)cvss_severity=cvss_data.get("baseSeverity ":cvss_score,"cvss_severity":cvss_severity,"cpes":cpes,"references":references,"published":cve_data.get _is_affected(cve,asset):matched.append({"cve_id":cve["cve_id"],"cvss_score":cve["cvss_score"],"cvss_severity "],reverse=True)print(f"[INFO]Matched{len(matched)}CVEs(CVSS>={cvss_threshold})")returnmatcheddef_is_affected
53410编辑于 2026-05-23OpenClaw 多数据源 + Jira 自动工单:打通 CVE 风险闭环的最后一公里(3源聚合+自动工单)
=0.0cvss_match=re.search(r'CVSS[::]\s*(\d+.? \d*)',summary)ifcvss_match:cvss_score=float(cvss_match.group(1))ifcvss_score==0.0:cvss_score=self. ":cvss_score,"cvss_severity":cvss_severity,"source":"GitHub","vulnerabilities":vulnerabilities,"references ",0)>existing.cvss_score:existing.cvss_score=item["cvss_score"]existing.cvss_severity=item["cvss_severity =item.get("cvss_score",0.0),cvss_severity=item.get("cvss_severity","UNKNOWN"),sources=[item.get("source
23030编辑于 2026-06-02- 来自专栏FreeBuf
地铁安防门被曝存在多个严重的安全漏洞
安全漏洞列表如下: CVE-2021-21901(CVSS 评分:9.8)、CVE-2021-21903(CVSS 评分:9.8)、CVE-2021-21905和CVE-2021-21906(CVSS CVE-2021-21902(CVSS 分数:7.5)——身份验证绕过漏洞,可以通过发送一系列请求来触发。 CVE-2021-21904(CVSS 评分:9.1)、CVE-2021-21907(CVSS 评分:4.9)、CVE-2021-21908和CVE-2021-21909(CVSS 评分:6.5)——可以通过发送特定的命令进行触发
54850编辑于 2022-01-05 - 来自专栏火绒安全
2022-08微软漏洞通告
ControlWindows Win32K以下漏洞需特别注意Microsoft Windows 支持诊断工具 (MSDT)远程代码执行漏洞CVE-2022-34713 / CVE-2022-35743严重级别:严重 CVSS Windows点对点协议(PPP)远程代码执行漏洞CVE-2022-30133 / CVE-2022-35744严重级别:高危 CVSS:9.8被利用级别:有可能被利用未经身份验证的攻击者可以向 RAS SMB 客户端和服务器远程代码执行漏洞CVE-2022-35804严重级别:高危 CVSS:8.8被利用级别:很有可能被利用此漏洞可通过两种不同的载体加以利用,成功利用该漏洞的攻击者可以在目标系统上执行任意代码 Active Directory 域服务特权提升漏洞CVE-2022-34691严重级别:高危 CVSS:8.8被利用级别:有可能被利用当 Active Directory 证书服务在域上运行时,经过身份验证的攻击者可以操纵他们拥有或管理的计算机帐户属性 Windows内核特权提升漏洞CVE-2022-35761严重级别:严重 CVSS:8.4被利用级别:很有可能被利用该漏洞无需用户交互,成功利用此漏洞的攻击者可以获得系统权限。
72220编辑于 2022-08-11 - 来自专栏火绒安全
2022-07微软漏洞通告
ManagerWindows Server ServiceWindows ShellWindows StorageXBox以下漏洞需特别注意Windows CSRSS 特权提升漏洞CVE-2022-22047严重级别:严重 CVSS Windows Graphics Component 远程代码执行漏洞CVE-2022-30221严重级别:高危 CVSS:8.8被利用级别:有可能被利用攻击者必须诱导用户连接到恶意 RDP 服务器。 Windows 网络文件系统远程执行代码漏洞CVE-2022-22029严重级别:高危 CVSS:8.1被利用级别:有可能被利用攻击复杂度很高,攻击者可以通过网络利用此漏洞,其通过对网络文件系统 (NFS Remote Procedure Call Runtime 远程代码执行漏洞CVE-2022-22038严重级别:高危 CVSS:8.1被利用级别:有可能被利用这是一个 RCE 漏洞,影响所有受支持的 Windows Server Service 篡改漏洞CVE-2022-30216严重级别:严重 CVSS:8.8被利用级别:很有可能被利用经过身份验证的攻击者可以远程将恶意证书上传到受影响的服务器上从而篡改服务
48330编辑于 2022-07-13
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号