公司建立网站青岛电话,百度网站推广咨询,工程行业网站,中国源码网游戏开服在文章CVSS4与CVSS3的不同-CSDN博客中描述了CVSS3的缺点#xff0c;以及CVSS4相对CVSS3做了哪些改进和带来了哪些优点。 但是具体CVSS4针对CVSS3做了哪些改动#xff0c;还没有详细列举出来。 本文主要是针对CVSS4和CVSS的打分的大项和小项进行逐一对比#xff0c;列出来具体…在文章CVSS4与CVSS3的不同-CSDN博客中描述了CVSS3的缺点以及CVSS4相对CVSS3做了哪些改进和带来了哪些优点。 但是具体CVSS4针对CVSS3做了哪些改动还没有详细列举出来。 本文主要是针对CVSS4和CVSS的打分的大项和小项进行逐一对比列出来具体增加和删除了哪些项目。
表格中颜色的说明
红色新增加的项目
黄色修改的项目
蓝色删除的项目
白色没有更改的项目
分类项小分类CSS3CVSS4描述Base MetricsUser Interaction (UI)None RequiredNone Active Passive细分为Active和Passive可以提高打分的准确性。Attack RequirementNANone/Present新增加的分类主要是描述攻击之前环境是否需要某种方式的配置和部署。 有些CVE是依赖环境的配置项如果没有配置就不会对环境造成威胁。ScopeUnchanged/ChangedN/A此项删除了。 关于可能影响的Scope可以参考后面的Vulnerable System和Subsequent System。Confidentiality Impact (C)Confidentiality Impact (C)Vulnerable System Confidentiality (VC)Subsequent System Confidentiality(SC)Integrity Impact (I)Integrity Impact (I)Vulnerable System Integrity (VI)Subsequent System Integrity(SI)Availability Impact (A)Availability Impact (A)Vulnerable System Availability(VA)Subsequent System Availability (SA)Temporal Score Metrics 改为 Threat MetricsExploit Code Maturity (E)Unproven that exploit exists Proof of concept code Functional exploit exists HighAttack POC Unreported简化了选线更加易懂和操作。Remediation Level (RL)此项删除了。 Report Confidence (RC)此项删除了。 Environmental Score Metrics 改为 Environmental (Modified Base Metrics)User Interaction (MUI)None RequiredNone Active PassiveImpact Metrics 改为 Vulnerable System Impact MetricsConfidentialityHigh/Medium/LowHigh/Medium/LowIntegrityHigh/Medium/LowHigh/Medium/LowAvailability High/Medium/LowHigh/Medium/LowImpact Subscore Modifiers 改为Subsequent System Impact MetricsConfidentialityHigh/Medium/LowHigh/Medium/LowIntegrityHigh/Medium/LowSaftey/High/Medium/Low增加了Saftey选线Availability High/Medium/LowSaftey/High/Medium/LowEnvironmental (Security Requirements) Confidentiality RequirementsNAHigh/Medium/LowIntegrity RequirementsNAHigh/Medium/LowAvailability RequirementsNAHigh/Medium/LowSupplemental MetricsSafety (S)NANegligible/Present攻击是否会影响组织的安全Automatable (AU)NANo/Yes攻击者是否可以自动化攻击Recovery (R)NAAutomatic/User/Irrcoverable系统或者组件是否可以在攻击者攻击之后自动恢复Value Density (V)NADiffuse/Concentrated攻击者一次攻击可以控制哪些资源Vulnerability Response Effort (RE)NALow/Medium/High需要花费多少努力应对攻击Provider Urgency (U)NAClear/Green/Amber/Red厂商如何评价此漏洞的级别
使用了CVSS4之后会导致一些漏洞的严重级别降低。 例如User Interaction 从原来的Required改为Active和Passive经过细化之后CVSS3只要是需要用户参与不管主动和被动都会统一CVSS4经过细分之后Passive的就会比Active的分数降低也导致CVE的级别降低。
CVSS4另外一个重大的变化就是增加了环境的因素并且细分和补充选项使CVSS考虑的更全面适用的范围也进行了扩展使用时也更加灵活可以满足不同行业的需求。 NVD - CVSS v4 Calculator
NVD - CVSS v3 Calculator
