CVSS (Common Vulnerability Scoring System)

CVSS оценивает уязвимости через три группы метрик: базовые (внутренние свойства — вектор атаки, сложность, требуемые привилегии, воздействие на КЦД), временные/угрозы (зрелость эксплойта, доступность исправления) и средовые (адаптированные к конкретному развертыванию). Базовая оценка публикуется в большинстве записей CVE как число и как векторная строка. Сегодня доминирует CVSS v3.1, а v4.0 уточняет метрики для IoT и дополнительную критичность. Оценки следует интерпретировать с учётом бизнес-контекста, критичности актива и сигналов EPSS или CISA KEV: высокий CVSS не всегда означает высокий реальный риск, а низкий может быть критичным в конкретной среде.