Exploitability

Attack Vector（AV）

Attack Complexity(AC)

Priviliages required(PR)

User Interation（UI）

Scope(S)

范围指的是计算授权主体（如应用、操作系统或沙盘环境）在授予计算资源（如文件、中央处理器（CPU）、内存等）获取权限时所定义的特权集合。此类特权通过认证和授权的方式进行分配。在某些情况下，授权可根据预定义的规则或标准被简单或随意控制。例如，当以太网流量发送至网络交换机时，交换机会接受到达其端口的流量，并作为一个授权主体对流向其他交换机端口的流量实行控制。当某授权范围所管辖的软件组件漏洞影响到另一个授权范围所管辖的资源时，范围就发生了变化。

如通过虚拟机可以修改主机上的文件，scope发生了改变，但是通过word漏洞可以修改某一文件夹下的文件，scope没变，应该授权主体没有变；

Impact

Confidentiality Impact(Im-c或EF-C)

Integrity Impact(Im-I或EF-I)

Availability Impact（Im-A，EF-A）

给分标准

Note:关于修改后的所需特权

此类度量指标有助于分析人员根据其环境内部的修改来调整基本度量指标。也就是说，如果环境对受影响的软件做了一般性改变，与影响其可利用性、范围或影响的方式不同，则环境可以通过一个合理修改的环境评分来对此加以反映。

对环境评分的总体影响取决于相应的基本度量指标。也就是说，这类度量指标在应用（环境）安全要求之前通过重新分配（基本）度量指标值来修改环境评分。例如，某漏洞组件的默认配置可能是在管理员特权的情况下运行倾听服务，对此，破坏可能会给攻击者带来高保密性、完整性和可用性影响。然而，在分析人员的环境下，同样的互联网服务则可能在更低的特权下运行；在这种情况下，修改后的保密性、修改后的完整性和修改后的可用性可能均应设为低。

为简化工作，仅提及修改后的基本度量指标的名称。每一个修改后的环境度量指标和其相应的基本度量指标具有同样的数值，再加一个未定义值。该度量指标的目的在于对给定环境中已实行的缓解进行定义。可以使用修改后的度量指标来对提高基本评分的情况进行描述。例如，某组件的默认配置可能需要高特权（PR：高）来获得某功能，但在分析人员的环境下，可能不需要任何特权（PR：无）。分析人员可以把MPR设为无来反映其环境的更严重情况。