cvss评估火眼泄露的redteam武器化漏洞危害

https://www.freebuf.com/news/257026.html

项目地址：https://github.com/fireeye/red_team_tool_countermeasures

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:无(N)攻击者在攻击之前是未经授权的，因此不需要访问易受攻击系统的设置或文件来进行攻击。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:改变了(C)被利用的脆弱性会影响超出脆弱部分安全当局管理的安全范围的资源。在这种情况下，脆弱部分和受影响部分是不同的，由不同的安全当局管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H漏洞评分:10.0危险等级:Critical

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:无(N)攻击者在攻击之前是未经授权的，因此不需要访问易受攻击系统的设置或文件来进行攻击。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:改变了(C)被利用的脆弱性会影响超出脆弱部分安全当局管理的安全范围的资源。在这种情况下，脆弱部分和受影响部分是不同的，由不同的安全当局管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H漏洞评分:10.0危险等级:Critical

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:无(N)攻击者在攻击之前是未经授权的，因此不需要访问易受攻击系统的设置或文件来进行攻击。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H漏洞评分:9.8危险等级:Critical

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:无(N)攻击者在攻击之前是未经授权的，因此不需要访问易受攻击系统的设置或文件来进行攻击。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H漏洞评分:9.8危险等级:Critical

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:无(N)攻击者在攻击之前是未经授权的，因此不需要访问易受攻击系统的设置或文件来进行攻击。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H漏洞评分:9.8危险等级:Critical

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:无(N)攻击者在攻击之前是未经授权的，因此不需要访问易受攻击系统的设置或文件来进行攻击。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H漏洞评分:9.8危险等级:Critical

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:无(N)攻击者在攻击之前是未经授权的，因此不需要访问易受攻击系统的设置或文件来进行攻击。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H漏洞评分:9.8危险等级:Critical

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:无(N)攻击者在攻击之前是未经授权的，因此不需要访问易受攻击系统的设置或文件来进行攻击。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H漏洞评分:9.8危险等级:Critical

无cvss3.x

无cvss3.x

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:低(L)攻击者需要提供基本用户功能的特权，这些权限通常只会影响用户拥有的设置和文件。或者，具有低权限的攻击者只能访问非敏感资源。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H漏洞评分:8.8危险等级:High

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:低(L)攻击者需要提供基本用户功能的特权，这些权限通常只会影响用户拥有的设置和文件。或者，具有低权限的攻击者只能访问非敏感资源。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H漏洞评分:8.8危险等级:High

1.攻击向量AV:当地(L)脆弱组件不绑定到网络堆栈，攻击者的路径是通过读/写/执行功能。要么：•攻击者通过本地访问目标系统（例如键盘、控制台）或远程(例如SSH)来利用漏洞；或•  攻击者依赖他人的用户交互来执行开发漏洞所需的操作（例如，使用社会工程技术欺骗合法用户打开恶意文档）。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:低(L)攻击者需要提供基本用户功能的特权，这些权限通常只会影响用户拥有的设置和文件。或者，具有低权限的攻击者只能访问非敏感资源。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H漏洞评分:7.8危险等级:High

1.攻击向量AV:当地(L)脆弱组件不绑定到网络堆栈，攻击者的路径是通过读/写/执行功能。 要么：•攻击者通过本地访问目标系统（例如键盘、控制台）或远程(例如SSH)来利用漏洞；或•  攻击者依赖他人的用户交互来执行开发漏洞所需的操作（例如，使用社会工程技术欺骗合法用户打开恶意文档）。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。 攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:无(N)攻击者在攻击之前是未经授权的，因此不需要访问易受攻击系统的设置或文件来进行攻击。
4.用户交互UI:要求(R)成功地利用这个漏洞需要用户在利用漏洞之前采取一些行动。 例如，获取管理员账号密码。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。 在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。 例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。 或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:高(H)存在完全的可用性损失，导致攻击者能够完全拒绝访问受影响组件中的资源；这种损失要么是持续的（而攻击者继续交付攻击)，要么是持续的(即使在攻击完成后，条件仍然存在）。 或者，攻击者有能力拒绝某些可用性，但可用性的丧失给受影响的组件带来了直接的、严重的后果（例如，攻击者不能破坏现有的连接，但可以防止新的连接；攻击者可以反复利用一个漏洞，在每次成功攻击的情况下，该漏洞只泄漏少量内存，但经过反复攻击后，服务将完全不可用）。
回显数据:CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H漏洞评分:7.8危险等级:High

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。 这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。 网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:高(H)成功的攻击取决于攻击者无法控制的条件。 也就是说，成功的攻击不能随意完成，而是要求攻击者在预期成功的攻击之前，在准备或执行针对易受攻击组件方面投入一些可测量的努力。2  例如，成功的攻击可能取决于攻击者克服以下任何条件：•  攻击者必须收集关于脆弱目标/组件存在的环境的知识。 例如，要求收集关于目标配置设置、序列号或共享秘密的详细信息。•  攻击者必须准备目标环境以提高开发可靠性。 例如，重复剥削以赢得比赛条件，或克服先进的剥削缓解技术。•  攻击者必须在目标和受害者请求的资源之间注入逻辑网络路径，以便读取和/或修改网络通信（例如，处于中间攻击的人）。
3.所需特权PR:无(N)攻击者在攻击之前是未经授权的，因此不需要访问易受攻击系统的设置或文件来进行攻击。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。 在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:高(H)存在完全的保密性损失，导致受影响组件内的所有资源被泄露给攻击者.. 或者，只获取一些受限制的信息，但披露的信息会产生直接、严重的影响。 例如，攻击者窃取管理员的密码或Web服务器的私有加密密钥。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。 或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:无(N)不影响受影响组件内的可用性。
回显数据:CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N漏洞评分:7.4危险等级:High

1.攻击向量AV:网络(N)易受攻击的组件被绑定到网络堆栈，并且一组可能的攻击者扩展到下面列出的其他选项之外，直到并包括整个Internet。 这种漏洞通常被称为“远程可利用”，可以被认为是一种攻击，在协议级别的一个或多个网络跳离（例如，跨越一个或多个路由器）时可被利用。 网络攻击的一个例子是攻击者通过在广域网(例如CVE-2004-0230)发送专门制作的TCP数据包而导致拒绝服务(DoS)。
2.攻击复杂性AC:低(L)不存在专门的准入条件或减轻处罚的情况。 攻击者可以期望在攻击易受攻击的组件时获得可重复的成功。
3.所需特权PR:低(L)攻击者需要提供基本用户功能的特权，这些权限通常只会影响用户拥有的设置和文件。 或者，具有低权限的攻击者只能访问非敏感资源。
4.用户交互UI:无(N)脆弱的系统可以在没有任何用户交互的情况下被攻击。
5.范围S:未更改(U)被利用的漏洞只能影响同一安全机构管理的资源。 在这种情况下，易受伤害组件和受影响组件要么是相同的，要么都由相同的安全权限管理。
6.保密C:在受影响的组件内不会丢失机密性。
7.完整性I:高(H)存在完全丧失完整性，或完全丧失保护.. 例如，攻击者能够修改受影响组件保护的任何/所有文件。 或者，只能修改某些文件，但恶意修改会对受影响的组件造成直接、严重的后果。
8.可用性A:无(N)不影响受影响组件内的可用性。
回显数据:CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N漏洞评分:6.5危险等级:Medium