1. CVSS 3.1介绍

CVSS 3.1 是通用漏洞评分系统的最新版本，用于评估漏洞的严重程度。以下是 CVSS 3.1 的评分指标构成：

1）基础评价（Base Metric Group）：

评估漏洞本身固有的一些特点及这些特点可能造成的影响。
基础评价指的是一个漏洞的内在特征，该特征随时间和用户环境保持不变。基础评价是 CVSS 评分中最重要的一个指标，我们一般说的 CVSS 评分都是指漏洞的基础评价得分。
基础评价的指标分为可利用性指标和影响指标，包括：
攻击向量（AV）：衡量攻击者利用漏洞的途径，如网络、相邻网络、本地网络或物理访问。
攻击复杂性（AC）：衡量攻击利用漏洞的复杂程度，是低（L）还是高（H）。
所需权限（PR）：衡量攻击者利用漏洞所需的权限，如无（N）、低（L）或高（H）。
用户交互（UI）：衡量用户是否需要与漏洞交互，如无（N）或需要（R）。

2）生命周期评价（Temporal Metric Group）：

此指标衡量当前利用技术或代码可用性的状态，是否存在任何补丁或解决方法，以及漏洞报告的可信度等。
生命周期评价几乎肯定会随着时间的推移而改变。

3）环境评价（Environmental Metric Group）：

这些指标使分析师能够根据受影响的 IT 资产对用户组织的重要性定制 CVSS 评分，并根据组织基础结构中组件的情况分配分值。

2. 分析具体漏洞CVSS

1）在CVE官网输入CVE号搜索对应漏洞的相关信息

2）可以得到漏洞的简要信息，包含如下

3）想获知的CVSS评分细节在NVD网站上

4）跳转的网站中可以看到详尽信息

5）将光标移到向量上可以看见具体信息

例如AV:N 表示攻击向量中的网络（N），AC:L表示攻击复杂性维度中的低（L）等级

6）同时我们点击Base Score旁边的方块分数还能进入漏洞评分系统计算器，得到更加精确的分值

7）过show equation还能看到计算的公式

8）计算

由于CVSS的计算是序列式的，最终的Overall分数取决于Environmental分数，环境分数取决于Temporal，而Temporal取决于Base Scores基础得分。在本漏洞的评分中，由于Temporal和Environmental缺乏情报，无法进行计算，故Overall=Base Score

通过查表可以得到漏洞的严重等级