نظام تسجيل نقاط الضعف المشترك (CVSS) هو معيار صناعي مجاني ومفتوح لتقييم شدة الثغرات الأمنية لنظام الكمبيوتر. تحاول CVSS تخصيص درجات الخطورة لنقاط الضعف، مما يسمح للمستجيبين بتحديد أولويات الاستجابات والموارد وفقًا للتهديد. يتم حساب الدرجات بناءً على صيغة تعتمد على عدة مقاييس تقارب سهولة الاستغلال وتأثير الاستغلال. تتراوح الدرجات من 0 إلى 10، حيث تكون 10 هي الأشد. في حين أن الكثيرين يستخدمون فقط نقاط CVSS الأساسية لتحديد الشدة، توجد أيضًا الدرجات الزمنية والبيئية، لعامل توافر عوامل التخفيف ومدى انتشار الأنظمة الضعيفة داخل المؤسسة، على التوالي.
تم إصدار الإصدار الحالي من CVSS (CVSSv3.1) في يونيو 2019.[1]
أدى البحث الذي أجراه المجلس الاستشاري الوطني للبنية التحتية (NIAC) في 2003/2004 إلى إطلاق الإصدار 1 من CVSS (CVSSv1) في فبراير 2005، بهدف أن يكون «مصممًا لتوفير تصنيفات مفتوحة ومعيار عالمي لشدة نقاط الضعف في البرامج». لم تخضع هذه المسودة الأولية لمراجعة النظراء أو المراجعة من قبل المنظمات الأخرى. في أبريل 2005، اختارت NIAC منتدى فرق الاستجابة للحوادث والأمن (FIRST) لتصبح الوصي على CVSS من أجل التنمية المستقبلية.[2]
تشير التعليقات الواردة من البائعين الذين يستخدمون CVSSv1 في الإنتاج إلى وجود «مشكلات كبيرة في المسودة الأولية لـ CVSS». بدأ العمل على الإصدار 2 من CVSS (CVSSv2) في أبريل 2005 مع إطلاق المواصفات النهائية في يونيو 2007.[3]
نتج عن المزيد من التعليقات بدء العمل على الإصدار 3 [4] CVSS في عام 2012، وانتهاءً بإصدار CVSSv3.0 في يونيو 2015.[1]
يقيس تقييم CVSS ثلاثة مجالات اهتمام:
يتم إنشاء درجة عددية لكل مجموعة من هذه المجموعات المترية. تمثل السلسلة المتجهة (أو ببساطة «المتجه» في CVSSv2) قيم جميع المقاييس ككتلة نصية.
يوضح ناقل الوصول (AV) كيف يمكن استغلال الثغرة الأمنية.
يصف مقياس تعقيد الوصول (AC) مدى سهولة أو صعوبة استغلال الثغرة المكتشفة.
يصف مقياس المصادقة (Au) عدد المرات التي يجب على المهاجم المصادقة على هدف لاستغلاله. لا يشمل (على سبيل المثال) المصادقة على الشبكة من أجل الوصول. بالنسبة للثغرات الأمنية القابلة للاستغلال محليًا، يجب تعيين هذه القيمة فقط إلى فردية أو متعددة إذا كانت المصادقة الإضافية مطلوبة بعد الوصول الأولي.
يصف مقياس السرية (C) التأثير على سرية البيانات التي يعالجها النظام.
يصف مقياس النزاهة (I) التأثير على سلامة النظام المستغل.
يصف مقياس التوفر (A) التأثير على توفر النظام المستهدف. تؤثر الهجمات التي تستهلك عرض النطاق الترددي للشبكة أو دورات المعالج أو الذاكرة أو أي موارد أخرى على توفر النظام.
تُستخدم هذه المقاييس الستة لحساب قابلية الاستغلال والتأثير على النتائج الفرعية للثغرة. تُستخدم هذه الدرجات الفرعية لحساب النتيجة الأساسية الإجمالية.
Exploitability = 20 × AccessVector × AttackComplexity × Authentication {\displaystyle {\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AttackComplexity}}\times {\textsf {Authentication}}}
Impact = 10.41 × ( 1 − ( 1 − ConfImpact ) × ( 1 − IntegImpact ) × ( 1 − AvailImpact ) ) {\displaystyle {\textsf {Impact}}=10.41\times (1-(1-{\textsf {ConfImpact}})\times (1-{\textsf {IntegImpact}})\times (1-{\textsf {AvailImpact}}))}
f ( Impact ) = { 0 , if Impact = 0 1.176 , otherwise {\displaystyle f({\textsf {Impact}})={\begin{cases}0,&{\text{if }}{\textsf {Impact}}{\text{ = 0}}\\1.176,&{\text{otherwise }}\end{cases}}}
BaseScore = roundTo1Decimal ( ( ( 0.6 × Impact ) + ( 0.4 × Exploitability ) − 1.5 ) × f ( Impact ) ) {\displaystyle {\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0.6\times {\textsf {Impact}})+(0.4\times {\textsf {Exploitability}})-1.5)\times f({\textsf {Impact}}))}
المقاييس متسلسلة لإنتاج CVSS Vector للثغرة الأمنية.
تؤثر ثغرة تجاوز سعة المخزن المؤقت على برنامج خادم الويب الذي يسمح للمستخدم البعيد بالتحكم الجزئي في النظام، بما في ذلك القدرة على التسبب في إيقاف تشغيله: