CVSS 4.0

CVSS 4.0 版在 2023 年 6 月 8 日正式開放。

CVSS 3.1

通用漏洞評分系統（CVSS）是什麼？

CVSS 評分是基於漏洞的技術細節和相關屬性，如攻擊向量、攻擊複雜性、機密性、完整性和可用性等。這些指標經過權重計算，產生一個基礎評分。

現在我們參考TVN (Taiwan Vulnerability Note) 漏洞公告:

台灣智園 Tronclass - Broken Access Control

首先這間公司在柯市長的時候拿到了台北市酷課雲的案子，同時也有承接我們的網路大學業務所以拿他當靶子，再來是分數不高所以比較好拿出來講。這裡我們發現了使用的評分版本是CVSS 3.1版本，既然台灣電腦網路危機處理暨協調中心使用這個版本我們依循就好，至於分數怎麼算出來的先把這一項給分離出來:

5.3 (Medium) 
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

然後我們進到CVSS計算機的網頁用滑鼠點選完就會出現結果了，這樣很簡單吧?還是說跟我一樣第一次看到直接放棄去問GPT呢?

結論

Base Score

• Attack Vector (AV) 攻擊媒介
• Attack Complexity (AC) 攻擊複雜度
• Privileges Required (PR) 所需權限
• User Interaction (UI) 使用者互動
• Scope (S) 範圍
• Confidentiality (C) 保密性
• Integrity (I) 誠信
• Availability (A) 可用性

看起來簡單的幾項為什麼對我造成困擾，因為我每一台靶機都算到9分以上，全部的等級都是高。應該不可能所有的漏洞都是高所以說問題一定在我自己，但是這一個章節就寫到這邊就好，因為即使完成暑假的培訓課我還是不會寫這個分數。不會就只能承認真的不會!😢