漏洞评级不是吓人的:CVSS 3.1 实战打分教程 文章目录一、为什么你需要懂 CVSS二、CVSS 3.1 三层分数一张图看懂三、严重等级对照表必背四、Base Score8 个指标逐项拆解4.1 可利用性指标攻击者要多费劲1攻击向量 Attack VectorAV2攻击复杂度 Attack ComplexityAC3所需权限 Privileges RequiredPR4用户交互 User InteractionUI4.2 影响指标打成什么样5影响范围 ScopeS——CVSS 3 最关键新概念68机密性 / 完整性 / 可用性C / I / A五、实战案例 1公网 SQL 注入经典 9.x5.1 指标选择5.2 计算器结果六、实战案例 2内网 Redis 未授权环境决定一切6.1 Base 向量同样漏洞不同暴露6.2 同一漏洞若在公网七、实战案例 3存储型 XSS分数不高但业务要命八、实战案例 4Log4Shell 类 RCECritical 模板九、Temporal 指标分数为什么会随时间变十、Environmental 指标对你公司才算数10.1 安全需求修改 C/I/A 权重10.2 修改后的攻击向量MAV, MAC, MPR, MUI10.3 实战排期公式简化版十一、手把手用官方计算器打分11.1 在线工具11.2 操作步骤11.3 报告里怎么写模板十二、CVSS 2.0 / 3.x / 4.0 怎么选十三、扫描器分数能不能信十四、与 CVE、CWE、EPSS 的关系十五、常见踩坑 FAQ十六、动手练习3 题练习 1练习 2练习 3十七、本篇小结附录 ACVSS 3.1 Base 指标速查卡附录 B向量字符串格式附录 C企业漏洞 SLA 模板可抄进制度一、为什么你需要懂 CVSS扫描器报了一堆漏洞老板问「先修哪个」常见两种糟糕回答A「都是高危全修」→ 资源不够真正致命的反而排队 B「看感觉吧」 → 开发不服合规审计过不了CVSSCommon Vulnerability Scoring System就是行业通用的「漏洞严重程度语言」——把技术细节翻译成010 分 严重等级方便角色用途渗透测试报告里写清风险等级开发/运维按优先级排修复蓝队/SOC告警与漏洞 SLA 对齐管理层看懂「Critical 要 7 天内修」重要认知CVSS 不是预言球——它描述漏洞固有技术特征不自动等于「你一定会被黑」。要结合资产价值、暴露面、有无利用代码综合判断。二、CVSS 3.1 三层分数一张图看懂┌─────────────────────────────────┐ │ Base Score基础分 │ │ 漏洞「本身」有多严重 │ │ 0.0 10.0 · 最常用 │ └───────────────┬─────────────────┘ │ ┌───────────────▼─────────────────┐ │ Temporal Score临时分 │ │ 利用成熟度、补丁状态、置信度 │ │ 随时间变化 │ └───────────────┬─────────────────┘ │ ┌───────────────▼─────────────────┐ │ Environmental Score环境分 │ │ 对你家资产、网络、业务的影响 │ │ 最适合做「修不修、何时修」 │ └─────────────────────────────────┘实战建议对外报告、CVE 公告主要看Base Score内部排期Base Temporal Environmental一起看扫描器给的 9.8 分通常是Base还要问「在我环境里能利用吗」三、严重等级对照表必背分数范围等级英文常见 SLA 参考0.0无None—0.13.9低Low90 天或下轮迭代4.06.9中Medium3060 天7.08.9高High714 天9.010.0严重Critical2472 小时不同企业 SLA 不同上表仅为常见参考。等保、行业监管可能有硬性要求。四、Base Score8 个指标逐项拆解Base 分由可利用性Exploitability影响Impact组成共8 个必填指标。4.1 可利用性指标攻击者要多费劲1攻击向量 Attack VectorAV取值含义典型场景NNetwork经网络远程利用公网 Web RCE、Log4ShellAAdjacent需相邻网络同 WiFi、同二层广播域LLocal需本地访问/Shell本地提权、需先登录PPhysical需物理接触BadUSB、拆机读盘打分倾向N A L P越远程分越高2攻击复杂度 Attack ComplexityAC取值含义典型场景LLow条件稳定可重复利用固定 URL 的 SQLiHHigh需竞态、特殊配置、多次尝试部分侧信道、复杂堆利用3所需权限 Privileges RequiredPR取值含义典型场景NNone无需账号未授权 RCE、匿名 APILLow普通用户即可登录后越权、普通员工 SQLiHHigh需管理员/高权限需 root 才能触发的配置漏洞注意 Scope 会影响 PR 的权重见下。4用户交互 User InteractionUI取值含义典型场景NNone无需用户操作远程直接打服务器RRequired需用户点击/打开钓鱼附件、XSS 需受害者访问4.2 影响指标打成什么样5影响范围 ScopeS——CVSS 3 最关键新概念取值含义UUnchanged漏洞组件 受影响组件只搞死自己CChanged漏洞在 A 组件能影响到 B 组件跨安全域例子浏览器沙箱内 XSS无法读系统文件 → 常UWordPress 插件 RCE 拿下整台服务器 → 常C容器逃逸从 Pod 到宿主机 →CScope Changed 时分数往往明显升高。68机密性 / 完整性 / 可用性C / I / A每个维度三档取值机密性 C完整性 I可用性 ANNone无泄露无篡改无中断LLow部分泄露部分篡改性能降/部分不可用HHigh全盘泄露全盘篡改完全中断例子数据库 SQLi 拖库→ C:H, I:N, A:N勒索软件加密磁盘→ C:L, I:H, A:HRedis 未授权写 SSH key→ C:L, I:H, A:L五、实战案例 1公网 SQL 注入经典 9.x场景电商官网https://shop.example.com/item?id1存在报错注入未授权可拖取订单库含姓名、手机、地址服务器未崩。5.1 指标选择指标取值理由AVN公网 HTTP 直接打ACL稳定注入sqlmap 一键PRN无需登录UIN无需用户点击SCWeb 应用漏洞 → 数据库机密性跨组件CH客户 PII 全库可读IN本例只读未改数据AN服务正常5.2 计算器结果使用 FIRST CVSS Calculator 3.1 输入上述向量CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N Base Score: 8.6High解读不是满分 10因为只影响机密性未破坏完整性与可用性。但对合规个保法、等保仍是高优先级。六、实战案例 2内网 Redis 未授权环境决定一切场景内网192.168.10.50:6379Redis 无密码仅内网可达可写 crontab 拿 Shell。6.1 Base 向量同样漏洞不同暴露指标取值理由AVA非公网需在内网或 VPNACL利用简单PRN无需 Redis 账号UIN无需交互SCRedis → 操作系统CH可读任意 keyIH可写文件、投毒AL可能删 key 影响业务CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L Base Score: 9.4Critical6.2 同一漏洞若在公网把 AV 改为NCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L Base Score: 9.9Critical→ 几乎必修第一优先级教训同一 CVE放公网和内网修复紧急度完全不同——这就是 Environmental 分存在的意义。七、实战案例 3存储型 XSS分数不高但业务要命场景论坛发帖可注入 JS需其他用户打开帖子才触发可窃取 Cookie无 HttpOnly。指标取值理由AVN网络提交帖子ACLPayload 稳定PRL需注册发帖UIR需受害者浏览帖子SU一般算在同一 Web 应用域内CL偷会话非整库IL可伪造发帖AN不宕机CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N Base Score: 4.6Medium但若被窃的是管理员 Cookie→ 可后台 GetShell业务上应按High处理。教训CVSS 分低 ≠ 业务风险低需叠加「受影响账号权限」判断。八、实战案例 4Log4Shell 类 RCECritical 模板场景公网 Java 应用Log4j2 用户输入进日志即 JNDI 回连 RCE。指标典型取值AV:N AC:L PR:N UI:N S:C C:H I:H A:HCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H Base Score: 10.0Critical这是「满分漏洞」模板远程、无权限、无交互、跨范围、CIA 全高。九、Temporal 指标分数为什么会随时间变在 Base 向量后追加 Temporal 修饰可选指标缩写常见取值含义利用代码成熟度EX / U / P / F / H有无在野利用、PoC 成熟度补救级别RLX / O / T / W / U官方补丁是否已出报告置信度RCX / U / R / C漏洞是否已确认例子Base 9.8 的漏洞若E:H在野活跃利用RL:O官方补丁已出→ Temporal 分可能下调但修复 urgency反而上升别人已经在打了。实战口诀Base 看有多毒 · Temporal 看有多急 · 在野利用 立刻修十、Environmental 指标对你公司才算数Environmental 用安全需求CR/IR/AR和受影响资产范围调整。10.1 安全需求修改 C/I/A 权重缩写含义何时用 HighCR机密性需求客户数据、源码IR完整性需求支付、订单、医疗记录AR可用性需求核心交易、7×24 系统若某系统CR:H, IR:H, AR:H核心数据库同样 6.5 分的漏洞Environmental 可能升到8。10.2 修改后的攻击向量MAV, MAC, MPR, MUI例如漏洞本为 AV:N但你已用防火墙做到仅内网可达 →MAV:A环境分下降。10.3 实战排期公式简化版修复优先级 f(Base, Temporal, Environmental, 资产价值, 暴露面) 建议四象限 高分 公网暴露 → P0 立即 高分 内网隔离 → P1 本周 中分 核心系统 → P1P2 低分 非敏感 → P3 排期十一、手把手用官方计算器打分11.1 在线工具CVSS 3.1 计算器https://www.first.org/cvss/calculator/3.1NVD 查 CVE 向量https://nvd.nist.gov/11.2 操作步骤1. 打开 FIRST Calculator 3.1 2. 左侧依次点选 AV/AC/PR/UI/S/C/I/A 3. 右侧实时显示 Base Score 与向量字符串 4. 展开 Temporal / Environmental 按需填写 5. 复制向量写入报告例如 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N11.3 报告里怎么写模板### VULN-2024-001 SQL 注入订单查询接口 | 项目 | 内容 | |------|------| | CVSS 3.1 Base | **8.6 (High)** | | 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N | | 受影响资产 | shop.example.com公网 | | 建议 SLA | 7 个工作日内修复 | | 临时缓解 | WAF 规则 参数化查询 | **业务补充**涉及 12 万条用户 PII建议按 Critical 业务优先级处理。十二、CVSS 2.0 / 3.x / 4.0 怎么选版本状态说明CVSS 2.0legacy老扫描器、老报告可能仍见CVSS 3.1主流CVE、NVD、本文推荐CVSS 4.0逐步推广更细但生态仍在迁移20242026 实战报告统一写CVSS 3.1看到 CVE 带CVSS:3.1/...向量可直接复用或按环境微调。十三、扫描器分数能不能信情况建议Nessus/OpenVAS 直接给分作参考人工复核 Scope 和 AV只给「高危」无向量要求厂商补 CVSS 向量或自己算同一漏洞多个 CVE以 NVD 官方向量为准复合漏洞链分开打分 链路说明不要硬凑一个 10 分常见扫描器高估场景把需 VPN 的漏洞仍标 AV:N忽略 UI:RXSS、钓鱼未区分 Scope Changed常见低估场景逻辑漏洞越权、支付CVSS 往往偏低供应链、密钥泄露需业务层拔高十四、与 CVE、CWE、EPSS 的关系CVE 漏洞编号身份证 CWE 漏洞类型病种分类如 CWE-89 SQLi CVSS 严重程度评分有多严重 EPSS 利用概率预测有多可能被利用01工具用途CVE CVSS报告、合规CWE根因分析、SDL 改进EPSS漏洞优先级排序比单看 CVSS 更贴近「会不会被打」进阶排期CVSS High EPSS 0.5→ 优先于CVSS High EPSS 0.01。十五、常见踩坑 FAQ问题正解「10 分就要马上修」看暴露面内网隔离的 10 分可略缓但勿拖「3 分就不修」低分逻辑漏洞可能拖库看数据Scope 总选 Unchanged跨应用/跨主机应选ChangedPR 和 UI 混淆PR攻击者账号UI受害者要不要点只写分数不写向量向量才可复现、可审计用 CVSS 代替业务评估CVSS 资产价值 合规要求2.0 和 3.1 混用统一 3.1避免开发困惑十六、动手练习3 题在 FIRST Calculator 完成打分写出完整向量练习 1内网文件服务器普通域用户可读\HR\salary.xlsx越权 SMB 读不可写。参考答案典型AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N→ Base6.5 (Medium)业务上因薪资数据建议升至 High 优先级。练习 2公网 API 未授权删除任意用户DELETE/api/user/{id}无鉴权。参考答案典型AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L→ Base8.2 (High)练习 3需钓鱼邮件 用户启用宏的 Office 漏洞 RCE。参考答案典型AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H→ Base9.6 (Critical)注意UI:R会拉低可利用性但仍可能是 Critical。十七、本篇小结┌─────────────────────────────────────────────────────────────┐ │ CVSS 3.1 核心记忆 │ ├─────────────────────────────────────────────────────────────┤ │ Base 漏洞本身Temporal 时间紧迫Environmental 你家环境 │ │ 8 指标AV AC PR UI · S · C I A │ │ Scope Changed 是 3.x 分水岭跨组件影响务必选对 │ │ 分数段Low 4 · Medium 4-6.9 · High 7-8.9 · Critical 9-10 │ │ 报告必写向量字符串不只写一个数字 │ │ CVSS 业务 EPSS 成熟优先级 │ └─────────────────────────────────────────────────────────────┘下一篇预告《安全报告怎么写才专业渗透测试报告模板与踩坑》——分打好了怎么写进报告让甲方买单。附录 ACVSS 3.1 Base 指标速查卡指标缩写选项分值从高到低倾向攻击向量AVN A L P攻击复杂度ACL H所需权限PRN L H与 Scope 联动用户交互UIN R影响范围SC U机密性CH L N完整性IH L N可用性AH L N附录 B向量字符串格式CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 顺序固定AV / AC / PR / UI / S / C / I / A Temporal 追加/E:H/RL:O/RC:C附录 C企业漏洞 SLA 模板可抄进制度等级Base 分暴露公网暴露内网验证关闭Critical9.010.024h 内缓解72h 修复7 天修复复测通过High7.08.97 天14 天复测通过Medium4.06.930 天60 天抽检Low0.13.9下季度下季度可选在野利用Temporal E:H一律按 Critical 流程处理。