1.烽火狼烟丨CVSS评分策略分析及近年来满分漏洞盘点

烽火狼烟丨CVSS评分策略分析及近年来满分漏洞盘点

       引言

       近两年，烽火烽火网络攻击频发，狼烟狼烟重大漏洞不断涌现，指标主图指标并伴随在野利用。源码例如去年的烽火烽火log4shell（CVE--）和今年的spring4shell（CVE--）都引发了广泛关注。在分析spring漏洞时，狼烟狼烟办公oa 源码由于cve编号未定，指标主图指标自评影响力也不高，源码因此并未过多关注。烽火烽火最近，狼烟狼烟我好奇地查看了这个漏洞的指标主图指标CVSS评分，想了解官方是源码如何评估其影响力的。结果显示，烽火烽火DNF扫描源码CVSS V2.0评分为7.5，狼烟狼烟CVSS 3.1评分为9.8。指标主图指标那么CVSS的评分依据是什么？2.x和3.x的评分标准有何区别？分数越高是否代表漏洞危害越大？近年来有哪些CVSS评分为满分的漏洞？本文将就这些问题进行探讨。

       CVSS评分依据

       2.1 CVSS评分指标

       CVSS（Common Vulnerability Scoring System）即“通用漏洞评分系统”，是一个行业公开标准，旨在评估漏洞严重程度，声呐雷达源码帮助确定所需反应的紧急度和重要度。CVSS是SCAP（Security Content Automation Protocol）的一部分，通常与CVE（Common Vulnerabilities and Exposures）一同由美国国家漏洞库（NVD）发布并更新。CVSS标准由FIRST制定，并由SIG（CVSS Special Interest Group）改进和推广。通过漏洞难易程度以及对机密性、死亡转盘源码完整性、可用性的影响综合评估，生成一个0到分之间的评分值来评估漏洞严重程度。

       2.2 基础评价对比

       CVSS的评分指标由三部分组成：基础评价、生命周期评价和环境评价。

       2.3 生命周期评价对比

       CVSS 2.0和CVSS 3.1对生命周期评价的西点自用源码要素基本一致，都包括利用代码成熟度、补丁完善水平和报告可信度三个方面，差别主要在具体分值上。

       2.4 环境评价对比

       CVSS 2.0和CVSS 3.1在环境评价的要素和记分方式上差别很大。

       2.5 漏洞等级

       CVSS 2.0对漏洞等级的定义有低、中、高三个级别，CVSS 3.0开始补充了“严重”这个级别。

       评分案例分析

       那么，CVSS评分越高是否代表漏洞越严重呢？以永恒之蓝（CVE--）为例，CVSS 3.X的最终评分仅为8.1分，甚至没有进入严重级别。通过分析CVSS 3.0标准，我们发现该漏洞的攻击复杂度评价较高，作用域评价为固定，这两个原因导致了评分不高。

       CVSS满分漏洞盘点

       以CVSS 3.1为参考标准，从年以来至今，9-分的漏洞共有个，其中满分的漏洞共有个。