prioritizing-vulnerabilities-with-cvss-scoring

通用漏洞评分系统(CVSS)是由 FIRST(事件响应和安全团队论坛)维护的行业标准框架,用于评估漏洞严重性。CVSS v4.0 于 2023 年 11 月发布,引入了更精确的评分指标。

9 stars

Best use case

prioritizing-vulnerabilities-with-cvss-scoring is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通用漏洞评分系统(CVSS)是由 FIRST(事件响应和安全团队论坛)维护的行业标准框架,用于评估漏洞严重性。CVSS v4.0 于 2023 年 11 月发布,引入了更精确的评分指标。

Teams using prioritizing-vulnerabilities-with-cvss-scoring should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/prioritizing-vulnerabilities-with-cvss-scoring/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/prioritizing-vulnerabilities-with-cvss-scoring/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/prioritizing-vulnerabilities-with-cvss-scoring/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How prioritizing-vulnerabilities-with-cvss-scoring Compares

Feature / Agentprioritizing-vulnerabilities-with-cvss-scoringStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通用漏洞评分系统(CVSS)是由 FIRST(事件响应和安全团队论坛)维护的行业标准框架,用于评估漏洞严重性。CVSS v4.0 于 2023 年 11 月发布,引入了更精确的评分指标。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 CVSS 评分确定漏洞优先级

## 概述
通用漏洞评分系统(CVSS)是由 FIRST(事件响应和安全团队论坛)维护的行业标准框架,用于评估漏洞严重性。CVSS v4.0(2023 年 11 月发布)引入了更精细的指标以实现更准确的评分。本技能涵盖计算 CVSS 分数、解读向量字符串,以及将 CVSS 与 EPSS 和 CISA KEV 等上下文因素结合用于有效的漏洞优先级排序。

## 前置条件
- 了解常见漏洞类型(缓冲区溢出、注入、XSS 等)
- 熟悉网络概念(攻击向量、协议)
- 访问 NVD(国家漏洞数据库)进行 CVE 查询
- 需要优先排序的漏洞扫描结果

## 核心概念

### CVSS v4.0 指标组

#### 1. 基础指标(固有严重性)
表示漏洞的固有特征:

**可利用性指标:**
- **攻击向量(AV)**:网络(N)、相邻(A)、本地(L)、物理(P)
- **攻击复杂性(AC)**:低(L)、高(H)
- **攻击要求(AT)**:无(N)、存在(P)- v4.0 新增
- **所需权限(PR)**:无(N)、低(L)、高(H)
- **用户交互(UI)**:无(N)、被动(P)、主动(A)- v4.0 扩展

**影响指标(受影响系统):**
- **机密性(VC)**:无(N)、低(L)、高(H)
- **完整性(VI)**:无(N)、低(L)、高(H)
- **可用性(VA)**:无(N)、低(L)、高(H)

**影响指标(后续系统):**
- **机密性(SC)**:无(N)、低(L)、高(H)
- **完整性(SI)**:无(N)、低(L)、高(H)
- **可用性(SA)**:无(N)、低(L)、高(H)

#### 2. 威胁指标(动态上下文)
- **利用成熟度(E)**:已被攻击(A)、概念验证(P)、未报告(U)

#### 3. 环境指标(组织特定)
基础指标的修改版本,反映本地部署上下文,以及:
- **机密性要求(CR)**:高(H)、中(M)、低(L)
- **完整性要求(IR)**:高(H)、中(M)、低(L)
- **可用性要求(AR)**:高(H)、中(M)、低(L)

#### 4. 补充指标(参考信息)
- **安全性(S)**:存在(P)、可忽略(X)
- **可自动化(AU)**:是(Y)、否(N)
- **恢复性(R)**:自动(A)、用户(U)、不可恢复(I)
- **价值密度(V)**:分散(D)、集中(C)
- **漏洞响应工作量(RE)**:低(L)、中(M)、高(H)
- **提供商紧迫性(U)**:红、琥珀、绿、透明

### CVSS v4.0 严重性评级
| 分数范围 | 严重性 |
|----------|--------|
| 0.0 | 无 |
| 0.1 - 3.9 | 低 |
| 4.0 - 6.9 | 中 |
| 7.0 - 8.9 | 高 |
| 9.0 - 10.0 | 严重 |

### CVSS v4.0 向量字符串格式
```
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
```
此示例表示一个网络可利用漏洞,无需权限、无需用户交互、无攻击要求,对受影响系统的机密性、完整性和可用性具有高影响。

## 工作流程

### 步骤 1:评估基础指标
对每个漏洞进行评估:

```
示例:CVE-2024-3094(XZ Utils 后门)

攻击向量:        网络(N)     - 可通过网络利用
攻击复杂性:      高(H)       - 需要特定条件
攻击要求:        存在(P)     - 需要特定构建/配置
所需权限:        无(N)       - 无需认证
用户交互:        无(N)       - 无需受害者操作

受影响系统影响:
  机密性:        高(H)       - 完全访问 SSH 密钥
  完整性:        高(H)       - 任意代码执行
  可用性:        高(H)       - 完全系统入侵

后续系统影响:
  机密性:        高(H)       - 可能横向移动
  完整性:        高(H)       - 全网络入侵
  可用性:        无(N)       - 无下游可用性影响

向量:CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:N
```

### 步骤 2:应用威胁情报上下文
使用实际威胁数据丰富 CVSS:

```
利用成熟度:      已被攻击(A)  - 野外主动利用
EPSS 评分:       0.94           - 30 天内被利用的概率为 94%
CISA KEV:        已列入           - 联邦机构强制修复
```

### 步骤 3:计算环境评分
根据组织上下文调整:

```
机密性要求:      高(H)       - 处理 PII/财务数据
完整性要求:      高(H)       - 关键业务流程
可用性要求:      中(M)       - 具有 DR/故障转移能力

修改后的攻击向量:网络(N)    - 面向互联网部署
```

### 步骤 4:多因素优先级矩阵

将 CVSS 与其他优先级因素结合:

| 因素 | 权重 | 来源 |
|------|------|------|
| CVSS 基础评分 | 25% | NVD/扫描器 |
| EPSS 评分 | 25% | FIRST EPSS API |
| 资产重要性 | 20% | 资产清单/CMDB |
| CISA KEV 列入 | 15% | CISA 目录 |
| 网络暴露 | 15% | 网络分段数据 |

### 步骤 5:定义修复 SLA

| 优先级 | CVSS 范围 | EPSS | 资产层级 | SLA |
|--------|-----------|------|----------|-----|
| P1 - 紧急 | 9.0-10.0 | >0.5 | 一级 | 24-48 小时 |
| P2 - 严重 | 7.0-8.9 | >0.3 | 一至二级 | 7 天 |
| P3 - 高 | 7.0-8.9 | <0.3 | 二至三级 | 14 天 |
| P4 - 中 | 4.0-6.9 | 任意 | 任意 | 30 天 |
| P5 - 低 | 0.1-3.9 | 任意 | 任意 | 90 天 |

## 最佳实践
1. 切勿仅依赖 CVSS 基础评分进行优先级排序
2. 始终纳入威胁情报(EPSS、KEV、漏洞利用数据库)
3. 在 CMDB 中维护准确的资产重要性评级
4. 针对特定部署上下文调整环境指标
5. 使用 CVSS v4.0 向量字符串在团队间精确沟通
6. 记录评分依据以便审计追踪和一致性
7. 当新威胁情报可用时重新评估评分
8. 培训修复团队解读 CVSS 指标和向量字符串

## 常见陷阱
- 将 CVSS 基础评分视为唯一优先级因素
- 忽略反映组织风险的环境指标
- 不在利用成熟度变化时更新威胁指标
- 混淆 CVSS 严重性与实际组织风险
- 使用过时的 CVSS v2.0 评分而非 v3.1/v4.0
- 过度依赖扫描器提供的评分而不验证

## 相关技能
- prioritizing-patches-with-exploit-prediction-scoring
- implementing-risk-based-vulnerability-management
- implementing-vulnerability-remediation-sla

Related Skills

triaging-vulnerabilities-with-ssvc-framework

9
from killvxk/cybersecurity-skills-zh

使用 CISA 的利益相关方特定漏洞分类(SSVC)决策树框架对漏洞进行分类和优先排序,产出可操作的修复优先级:Track、Track*、Attend 或 Act。

testing-for-xxe-injection-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

在授权的渗透测试中发现和利用 XML 外部实体(XXE)注入漏洞,以读取服务器文件、执行 SSRF 并外泄数据。

testing-for-xss-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

通过向反射型、存储型和 DOM 型上下文注入 JavaScript 载荷,测试 Web 应用程序的跨站脚本(XSS)漏洞, 演示客户端代码执行、会话劫持和用户冒充。测试人员识别所有注入点和输出上下文,构造适合上下文的载荷, 并绕过净化和 CSP 保护。适用于 XSS 测试、跨站脚本评估、客户端注入测试或 JavaScript 注入漏洞测试等请求场景。

testing-for-xss-vulnerabilities-with-burpsuite

9
from killvxk/cybersecurity-skills-zh

在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。

testing-for-xml-injection-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

测试 Web 应用程序中的 XML 注入漏洞,包括 XXE(XML 外部实体注入)、XPath 注入和 XML 实体攻击,以识别数据泄露和服务器端请求伪造(SSRF)风险。

testing-for-open-redirect-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

通过分析 URL 重定向参数、绕过技术和利用链,识别并测试 Web 应用程序中的开放重定向漏洞,用于网络钓鱼和 Token 窃取。

testing-for-json-web-token-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

测试 JWT 实现中的关键漏洞,包括算法混淆、none 算法绕过、kid 参数注入和弱密钥利用,以实现认证绕过和权限提升。

testing-for-business-logic-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

识别应用程序业务逻辑中的缺陷,这些缺陷允许价格操控、工作流绕过和权限提升,超出技术漏洞扫描器的检测范围。

testing-android-intents-for-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

测试 Android 进程间通信(IPC)中 Intent 的安全漏洞,包括 Intent 注入、未授权组件访问、 广播嗅探、PendingIntent 劫持和 ContentProvider 数据泄露。适用于评估 Android 应用导出组件 攻击面、测试 Intent 数据流或评估 IPC 安全性的场景。适合涉及 Android Intent 安全、IPC 测试、 导出组件分析或 Drozer 评估的相关请求。

performing-asset-criticality-scoring-for-vulns

9
from killvxk/cybersecurity-skills-zh

开发并应用多因素资产关键性评分模型,根据业务影响、数据敏感性和运营重要性对漏洞优先级进行加权。

exploiting-websocket-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

在授权安全评估中测试 WebSocket 实现的身份验证绕过、跨站劫持、注入攻击和不安全消息处理。

exploiting-vulnerabilities-with-metasploit-framework

9
from killvxk/cybersecurity-skills-zh

Metasploit Framework 是全球最广泛使用的渗透测试平台,由 Rapid7 维护,包含超过 2300 个漏洞利用模块、1200 个辅助模块和 400 个后渗透模块