prioritizing-vulnerabilities-with-cvss-scoring
通用漏洞评分系统(CVSS)是由 FIRST(事件响应和安全团队论坛)维护的行业标准框架,用于评估漏洞严重性。CVSS v4.0 于 2023 年 11 月发布,引入了更精确的评分指标。
Best use case
prioritizing-vulnerabilities-with-cvss-scoring is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通用漏洞评分系统(CVSS)是由 FIRST(事件响应和安全团队论坛)维护的行业标准框架,用于评估漏洞严重性。CVSS v4.0 于 2023 年 11 月发布,引入了更精确的评分指标。
Teams using prioritizing-vulnerabilities-with-cvss-scoring should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/prioritizing-vulnerabilities-with-cvss-scoring/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How prioritizing-vulnerabilities-with-cvss-scoring Compares
| Feature / Agent | prioritizing-vulnerabilities-with-cvss-scoring | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通用漏洞评分系统(CVSS)是由 FIRST(事件响应和安全团队论坛)维护的行业标准框架,用于评估漏洞严重性。CVSS v4.0 于 2023 年 11 月发布,引入了更精确的评分指标。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用 CVSS 评分确定漏洞优先级 ## 概述 通用漏洞评分系统(CVSS)是由 FIRST(事件响应和安全团队论坛)维护的行业标准框架,用于评估漏洞严重性。CVSS v4.0(2023 年 11 月发布)引入了更精细的指标以实现更准确的评分。本技能涵盖计算 CVSS 分数、解读向量字符串,以及将 CVSS 与 EPSS 和 CISA KEV 等上下文因素结合用于有效的漏洞优先级排序。 ## 前置条件 - 了解常见漏洞类型(缓冲区溢出、注入、XSS 等) - 熟悉网络概念(攻击向量、协议) - 访问 NVD(国家漏洞数据库)进行 CVE 查询 - 需要优先排序的漏洞扫描结果 ## 核心概念 ### CVSS v4.0 指标组 #### 1. 基础指标(固有严重性) 表示漏洞的固有特征: **可利用性指标:** - **攻击向量(AV)**:网络(N)、相邻(A)、本地(L)、物理(P) - **攻击复杂性(AC)**:低(L)、高(H) - **攻击要求(AT)**:无(N)、存在(P)- v4.0 新增 - **所需权限(PR)**:无(N)、低(L)、高(H) - **用户交互(UI)**:无(N)、被动(P)、主动(A)- v4.0 扩展 **影响指标(受影响系统):** - **机密性(VC)**:无(N)、低(L)、高(H) - **完整性(VI)**:无(N)、低(L)、高(H) - **可用性(VA)**:无(N)、低(L)、高(H) **影响指标(后续系统):** - **机密性(SC)**:无(N)、低(L)、高(H) - **完整性(SI)**:无(N)、低(L)、高(H) - **可用性(SA)**:无(N)、低(L)、高(H) #### 2. 威胁指标(动态上下文) - **利用成熟度(E)**:已被攻击(A)、概念验证(P)、未报告(U) #### 3. 环境指标(组织特定) 基础指标的修改版本,反映本地部署上下文,以及: - **机密性要求(CR)**:高(H)、中(M)、低(L) - **完整性要求(IR)**:高(H)、中(M)、低(L) - **可用性要求(AR)**:高(H)、中(M)、低(L) #### 4. 补充指标(参考信息) - **安全性(S)**:存在(P)、可忽略(X) - **可自动化(AU)**:是(Y)、否(N) - **恢复性(R)**:自动(A)、用户(U)、不可恢复(I) - **价值密度(V)**:分散(D)、集中(C) - **漏洞响应工作量(RE)**:低(L)、中(M)、高(H) - **提供商紧迫性(U)**:红、琥珀、绿、透明 ### CVSS v4.0 严重性评级 | 分数范围 | 严重性 | |----------|--------| | 0.0 | 无 | | 0.1 - 3.9 | 低 | | 4.0 - 6.9 | 中 | | 7.0 - 8.9 | 高 | | 9.0 - 10.0 | 严重 | ### CVSS v4.0 向量字符串格式 ``` CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N ``` 此示例表示一个网络可利用漏洞,无需权限、无需用户交互、无攻击要求,对受影响系统的机密性、完整性和可用性具有高影响。 ## 工作流程 ### 步骤 1:评估基础指标 对每个漏洞进行评估: ``` 示例:CVE-2024-3094(XZ Utils 后门) 攻击向量: 网络(N) - 可通过网络利用 攻击复杂性: 高(H) - 需要特定条件 攻击要求: 存在(P) - 需要特定构建/配置 所需权限: 无(N) - 无需认证 用户交互: 无(N) - 无需受害者操作 受影响系统影响: 机密性: 高(H) - 完全访问 SSH 密钥 完整性: 高(H) - 任意代码执行 可用性: 高(H) - 完全系统入侵 后续系统影响: 机密性: 高(H) - 可能横向移动 完整性: 高(H) - 全网络入侵 可用性: 无(N) - 无下游可用性影响 向量:CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:N ``` ### 步骤 2:应用威胁情报上下文 使用实际威胁数据丰富 CVSS: ``` 利用成熟度: 已被攻击(A) - 野外主动利用 EPSS 评分: 0.94 - 30 天内被利用的概率为 94% CISA KEV: 已列入 - 联邦机构强制修复 ``` ### 步骤 3:计算环境评分 根据组织上下文调整: ``` 机密性要求: 高(H) - 处理 PII/财务数据 完整性要求: 高(H) - 关键业务流程 可用性要求: 中(M) - 具有 DR/故障转移能力 修改后的攻击向量:网络(N) - 面向互联网部署 ``` ### 步骤 4:多因素优先级矩阵 将 CVSS 与其他优先级因素结合: | 因素 | 权重 | 来源 | |------|------|------| | CVSS 基础评分 | 25% | NVD/扫描器 | | EPSS 评分 | 25% | FIRST EPSS API | | 资产重要性 | 20% | 资产清单/CMDB | | CISA KEV 列入 | 15% | CISA 目录 | | 网络暴露 | 15% | 网络分段数据 | ### 步骤 5:定义修复 SLA | 优先级 | CVSS 范围 | EPSS | 资产层级 | SLA | |--------|-----------|------|----------|-----| | P1 - 紧急 | 9.0-10.0 | >0.5 | 一级 | 24-48 小时 | | P2 - 严重 | 7.0-8.9 | >0.3 | 一至二级 | 7 天 | | P3 - 高 | 7.0-8.9 | <0.3 | 二至三级 | 14 天 | | P4 - 中 | 4.0-6.9 | 任意 | 任意 | 30 天 | | P5 - 低 | 0.1-3.9 | 任意 | 任意 | 90 天 | ## 最佳实践 1. 切勿仅依赖 CVSS 基础评分进行优先级排序 2. 始终纳入威胁情报(EPSS、KEV、漏洞利用数据库) 3. 在 CMDB 中维护准确的资产重要性评级 4. 针对特定部署上下文调整环境指标 5. 使用 CVSS v4.0 向量字符串在团队间精确沟通 6. 记录评分依据以便审计追踪和一致性 7. 当新威胁情报可用时重新评估评分 8. 培训修复团队解读 CVSS 指标和向量字符串 ## 常见陷阱 - 将 CVSS 基础评分视为唯一优先级因素 - 忽略反映组织风险的环境指标 - 不在利用成熟度变化时更新威胁指标 - 混淆 CVSS 严重性与实际组织风险 - 使用过时的 CVSS v2.0 评分而非 v3.1/v4.0 - 过度依赖扫描器提供的评分而不验证 ## 相关技能 - prioritizing-patches-with-exploit-prediction-scoring - implementing-risk-based-vulnerability-management - implementing-vulnerability-remediation-sla
Related Skills
triaging-vulnerabilities-with-ssvc-framework
使用 CISA 的利益相关方特定漏洞分类(SSVC)决策树框架对漏洞进行分类和优先排序,产出可操作的修复优先级:Track、Track*、Attend 或 Act。
testing-for-xxe-injection-vulnerabilities
在授权的渗透测试中发现和利用 XML 外部实体(XXE)注入漏洞,以读取服务器文件、执行 SSRF 并外泄数据。
testing-for-xss-vulnerabilities
通过向反射型、存储型和 DOM 型上下文注入 JavaScript 载荷,测试 Web 应用程序的跨站脚本(XSS)漏洞, 演示客户端代码执行、会话劫持和用户冒充。测试人员识别所有注入点和输出上下文,构造适合上下文的载荷, 并绕过净化和 CSP 保护。适用于 XSS 测试、跨站脚本评估、客户端注入测试或 JavaScript 注入漏洞测试等请求场景。
testing-for-xss-vulnerabilities-with-burpsuite
在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。
testing-for-xml-injection-vulnerabilities
测试 Web 应用程序中的 XML 注入漏洞,包括 XXE(XML 外部实体注入)、XPath 注入和 XML 实体攻击,以识别数据泄露和服务器端请求伪造(SSRF)风险。
testing-for-open-redirect-vulnerabilities
通过分析 URL 重定向参数、绕过技术和利用链,识别并测试 Web 应用程序中的开放重定向漏洞,用于网络钓鱼和 Token 窃取。
testing-for-json-web-token-vulnerabilities
测试 JWT 实现中的关键漏洞,包括算法混淆、none 算法绕过、kid 参数注入和弱密钥利用,以实现认证绕过和权限提升。
testing-for-business-logic-vulnerabilities
识别应用程序业务逻辑中的缺陷,这些缺陷允许价格操控、工作流绕过和权限提升,超出技术漏洞扫描器的检测范围。
testing-android-intents-for-vulnerabilities
测试 Android 进程间通信(IPC)中 Intent 的安全漏洞,包括 Intent 注入、未授权组件访问、 广播嗅探、PendingIntent 劫持和 ContentProvider 数据泄露。适用于评估 Android 应用导出组件 攻击面、测试 Intent 数据流或评估 IPC 安全性的场景。适合涉及 Android Intent 安全、IPC 测试、 导出组件分析或 Drozer 评估的相关请求。
performing-asset-criticality-scoring-for-vulns
开发并应用多因素资产关键性评分模型,根据业务影响、数据敏感性和运营重要性对漏洞优先级进行加权。
exploiting-websocket-vulnerabilities
在授权安全评估中测试 WebSocket 实现的身份验证绕过、跨站劫持、注入攻击和不安全消息处理。
exploiting-vulnerabilities-with-metasploit-framework
Metasploit Framework 是全球最广泛使用的渗透测试平台,由 Rapid7 维护,包含超过 2300 个漏洞利用模块、1200 个辅助模块和 400 个后渗透模块