شنو هو الـCVSS؟

هو نظام عالمي مفتوح المصدر، يستخدم لتقييم مدى خطورة الثغرات الأمنية بناءً على عدة عوامل. هذا النظام تطوّر عن طريق منظمة اسمها FIRST، وهي منظمة غير ربحية تهتم بالأمن السيبراني.

الهدف من CVSS إنه ينطي "نقطة" للثغرة الأمنية (من 0 إلى 10)، حتى تساعدك تفهم مدى خطورتها:

• 0.0 – 3.9: منخفضة LOW
• 4.0 – 6.9: متوسطة MEDIUM
• 7.0 – 8.9: عالية HIGH
• 9.0 – 10.0: حرجة Critical

ليش الـCVSS مهم؟

• يسهّل التواصل بين الباحثين والشركات.
• يساعد فرق الأمن بترتيب أولويات التصليح.
• معتمد رسمياً من منصات مثل NVD (قاعدة بيانات الثغرات الوطنية الأمريكية).

المكونات الرئيسية للنظام:

يتكون من ثلاث مجموعات:

1. Base Metrics (العوامل الأساسية)

وهي تعكس خصائص الثغرة اللي ما تتغيّر، مثل:

• Attack Vector (AV): شنو المسار للهجوم؟ (عبر الإنترنت، الشبكة المحلية، ...إلخ)
• Attack Complexity (AC): صعوبة تنفيذ الهجوم.
• Privileges Required (PR): هل يحتاج صلاحيات؟ (مثلاً لازم يكون تسجيل دخول او صلاحيات عالية مثل ادمن)
• User Interaction (UI): هل يحتاج الضحية يسوي شيء او يضغط شيء؟
• Scope (S): هل الهجوم يأثر على مكونات خارج النطاق؟
• Confidentiality, Integrity, Availability Impact (C, I, A): شنو تأثير الهجوم على سرية/سلامة/توفر البيانات؟

2. Temporal Metrics (العوامل المؤقتة)

هاي تعتمد على الحالة الحالية للثغرة:

• هل الحل موجود؟
• شنو درجة الثقة بالمعلومة؟
• مدى سهولة استغلالها؟

3. Environmental Metrics (العوامل البيئية)

هاي تختلف من منظمة لمنظمة، تعتمد على البيئة، مثل:

• أهمية النظام المصاب داخل المؤسسة.
• مدى الضرر اللي ممكن يصير.

شلون نحسب CVSS Score؟

تگدر تستخدم حاسبة رسمية أونلاين:
CVSS Calculator v3.1 CVSS v3.1 Base Score Calculator

مثال تطبيقي :

خل نفترض عندك ثغرة XSS بالنظام، وهذه تفاصيلها:

• تنفذ من خلال الإنترنت → AV:N
• تنفيذها سهل بدون تعقيد → AC:L
• ما تحتاج صلاحيات → PR:N
• تحتاج المستخدم يضغط على رابط → UI:R
• ما تأثر على مكونات ثانية → S:U
• تأثر على السرية فقط → C:L / I:N / A:N

النتيجة:

Vector:

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

تفتح الحاسبة:
🔗 https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

راح يطلعلك السكور: 4.3 (متوسطة)