Common Vulnerability Scoring System
CVSS는 “공통 취약점 등급 시스템(Common Vulnerability Scoring System)”을 의미합니다. 소프트웨어 취약점의 특성과 심각도를 파악하는 데 도움이 되는 개방형 프레임워크입니다. 벤더 자체적인 등급 시스템을 이용하는 경우 취약점에 대한 대응이 복잡해질 수 있습니다. CVSS를 이용하면 조직은 통일된 등급 방식으로 여러 소프트웨어에 걸친 IT 취약점의 심각도를 평가할 수 있습니다. CVSS 점수를 통해 즉시 개선이 필요한 취약점의 우선순위를 결정할 수 있습니다.
CVSS는 2005년에 NIAC에서 최초로 소개한 개념입니다. 현재는 국제 사고대응 및 보안팀 협회(FIRST)에서 관리합니다. FIRST의 CVSS 이해당사자 그룹(SIG)이 CVSS 프레임워크의 최초 설계와 신규 버전의 공식을 다듬는 작업을 맡았습니다. CVSS SIG는 다양한 산업 분야의 대표들로 구성됩니다.
CVSS Versions
CVSS는 도입 후 여러 수정이 있었습니다.
Version 1
CVSS v1은 2005년에 미국 국가 인프라 자문위원회(NIAP)에서 발표했습니다. 이는 소프트웨어 내 취약점의 심각도에 대한 표준을 제정하는 것이 목적이었습니다.
Version 2
CVSS v1의 단점을 개선하여 v2가 제정되었습니다. 2007년에 발표된 CVSS v2는 v1보다 크게 발전한 버전입니다. 비일관성을 줄이고 IT 취약점의 실제적 특성을 반영하면서 세부적 측면을 강화했습니다.
Version 3
다만 v2 역시 문제가 많아 2015년에 v3이 공개되었습니다. CVSS v3은 취약점 악용에 필요한 권한 및 해커가 취약점 악용 후 시스템에 진입할 기회와 같은 우려를 다룹니다. 이를 개선한 CVSS v3.1이 2019년에 발표되었습니다.
Version 3.1
A minor update to CVSS was released on June 17, 2019. The goal of CVSSv3.1 was to clarify and improve upon the existing CVSSv3.0 standard without introducing new metrics or metric values, allowing for frictionless adoption of the new standard by both scoring providers and scoring consumers alike. Usability was a prime consideration when making improvements to the CVSS standard. Several changes being made in CVSSv3.1 are to improve the clarity of concepts introduced in CVSSv3.0, and thereby improve the overall ease of use of the standard.
Version 4.0
Version 4.0 was officially released in November 2023, and is available at FIRST. Among several clarifications, the most notable changes are the new base metric Attack Requirements which complement the metric Attack Complexity with an assessment what conditions at the target side are needed to exploit a vulnerability. Further, the Impact metrics are split into impact on the vulnerable system itself and impact on subsequent systems (this replaces the Scope metric from prior versions).
Calculator
Metric Values
| Metric | Metric Value | Numerical Value |
| Attack Vector / Modified Attack Vector | Network | 0.85 |
| Adjacent | 0.62 | |
| Local | 0.55 | |
| Physical | 0.2 | |
| Attack Complexity / Modified Attack Complexity | Low | 0.77 |
| High | 0.44 | |
| Privileges Required / Modified Privileges Required | None | 0.85 |
| Low | 0.62 (or 0.68 if Scope / Modified Scope is Changed) | |
| High | 0.27 (or 0.5 if Scope / Modified Scope is Changed) | |
| User Interaction / Modified User Interaction | None | 0.85 |
| Required | 0.62 | |
| Confidentiality / Integrity / Availability / Modified Confidentiality / Modified Integrity / Modified Availability | High | 0.56 |
| Low | 0.22 | |
| None | 0 | |
| Exploit Code Maturity | Not Defined | 1 |
| High | 1 | |
| Functional | 0.97 | |
| Proof of Concept | 0.94 | |
| Unproven | 0.91 | |
| Remediation Level | Not Defined | 1 |
| Unavailable | 1 | |
| Workaround | 0.97 | |
| Temporary Fix | 0.96 | |
| Official Fix | 0.95 | |
| Report Confidence | Not Defined | 1 |
| Confirmed | 1 | |
| Reasonable | 0.96 | |
| Unknown | 0.92 | |
| Confidentiality Requirement / Integrity Requirement / Availability Requirement | Not Defined | 1 |
| High | 1.5 | |
| Medium | 1 | |
| Low | 0.5 |
Base Score Metrics
Exploitability Metrics
Attack Vector (AV)
Attack Complexity (AC)
Privileges Required (PR)
취약점이 악용되기 위해 요구되는 권한 수준을 나타내는 척도로, 다음과 같은 단계로 나뉩니다.
PR의 영향은 취약점의 공격 난이도를 평가하는 데 매우 중요한 요소로 작용하며, 다음과 같은 방식으로 점수에 반영됩니다.
| 값 | 설명 | 영향 (Unchanged 환경) | 영향 (Changed 환경 1) |
| None | 악용을 위해 추가적인 권한이 전혀 필요하지 않습니다. 공격자는 일반 사용자 또는 인증되지 않은 상태에서도 악용할 수 있습니다. | 높은 영향: 점수에 영향 없음 (가장 높은 위험으로 계산됨) | 높은 영향: 점수에 영향 없음 |
| Low | 악용을 위해 낮은 수준의 권한이 필요합니다. 일반 사용자 권한 또는 그 이하의 권한으로 접근이 가능하며, 특정한 작업이나 요청을 통해 취약점을 악용할 수 있습니다. | 중간 영향: 점수가 0.62 배로 감소 | 중간 영향: 점수가 0.68 배로 감소 |
| High | 악용을 위해 높은 수준의 권한이 필요합니다. 관리자 권한 또는 유사한 고급 권한이 요구되며, 권한이 높은 계정을 통해서만 접근 가능합니다. | 낮은 영향: 점수가 0.27 배로 감소 | 낮은 영향: 점수가 0.5 배로 감소 |
따라서 "[위험] - None - Low - High - [안전]" 라고 보면 된다.
예제로 Security Bulletin: NVIDIA GPU Display Driver - October 2024 | NVIDIA 를 보면
| CVE ID | Description | Vector | Base Score | Severity | CWE | Impacts |
| NVIDIA GPU Display Driver for Windows and Linux contains a vulnerability which could allow a privileged attacker to escalate permissions. A successful exploit of this vulnerability might lead to code execution, denial of service, escalation of privileges, information disclosure, and data tampering. | 8.2 | High | Code execution, denial of service, escalation of privileges, information disclosure, and data tampering | |||
| NVIDIA GPU Display Driver for Windows contains a vulnerability in the user mode layer, where an unprivileged regular user can cause an out-of-bounds read. A successful exploit of this vulnerability might lead to code execution, denial of service, escalation of privileges, information disclosure, and data tampering. | 7.8 | High | Code execution, denial of service, escalation of privileges, information disclosure, and data tampering |
- CVE‑2024‑0126 는 vulnerability which could allow a privileged attacker to escalate permissions. ("권한이 있는 공격자가 권한을 확대할 수 있는 취약점이 포함되어 있습니다.") 라고 적혀 있다. <- PR:H
- CVE‑2024‑0117 는 vulnerability in the user mode layer, where an unprivileged regular user can cause an out-of-bounds read. ("사용자 모드 계층에 취약점이 포함되어 있으며, 권한이 없는 일반 사용자가 범위를 벗어난 읽기를 일으킬 수 있습니다.") 라고 적혀 있다. <- PR:N
User Interaction (UI)
- None (UI:N)
- Required (UI:R)
Scope
- Unchanged (S:U)
- Changed (S:C)
See also
Favorite site
References
-
if Scope / Modified Scope is Changed ↩