操作系统 |
权限要求 |
用户名/组名 |
Windows |
高 |
管理员组(Administrators) |
系统组(SYSTEM) |
||
低 |
高级用户组(Power Users) |
|
普通用户组(Users) |
||
设置密码的来宾组(Guests) |
||
无 |
未设置密码的来宾组(Guests) |
|
匿名(ANONYMOUS) |
||
Linux |
高 |
系统管理员(root) |
低 |
系统用户(mail、halt等) |
|
自定义用户 |
||
无 |
客人用户(guest) |
|
macOS |
高 |
超级用户(root) |
管理员 |
||
低 |
普通成员 |
|
无 |
客人用户(guest) |
|
Android |
高 |
开发者(root) |
低 |
使用者(非root机主用户) |
|
访客(针对Android 4.2系统后多用户模式) |
||
无 |
暂无 |
|
iOS |
高 |
最高权限(root 针对越狱用户) |
低 |
普通用户(非越狱机主用户) |
|
客人用户(针对启用访问限制的用户) |
||
无 |
暂无 |
攻击途径 |
攻击复杂度 |
权限要求 |
用户交互 |
可利用性指标评分 |
|
范围不变 |
范围改变 |
||||
网络 |
低 |
无 |
不需要 |
3.89 |
4.20 |
网络 |
低 |
无 |
需要 |
2.84 |
3.06 |
网络 |
低 |
低 |
不需要 |
2.84 |
3.36 |
网络 |
低 |
低 |
需要 |
2.07 |
2.45 |
网络 |
低 |
高 |
不需要 |
1.23 |
2.47 |
网络 |
低 |
高 |
需要 |
0.90 |
1.80 |
网络 |
高 |
无 |
不需要 |
2.22 |
2.40 |
网络 |
高 |
无 |
需要 |
1.62 |
1.75 |
网络 |
高 |
低 |
不需要 |
1.62 |
1.92 |
网络 |
高 |
低 |
需要 |
1.18 |
1.40 |
网络 |
高 |
高 |
不需要 |
0.71 |
1.41 |
网络 |
高 |
高 |
需要 |
0.51 |
1.03 |
邻接 |
低 |
无 |
不需要 |
2.84 |
3.06 |
邻接 |
低 |
无 |
需要 |
2.07 |
2.23 |
邻接 |
低 |
低 |
不需要 |
2.07 |
2.45 |
邻接 |
低 |
低 |
需要 |
1.51 |
1.79 |
邻接 |
低 |
高 |
不需要 |
0.90 |
1.80 |
邻接 |
低 |
高 |
需要 |
0.66 |
1.31 |
邻接 |
高 |
无 |
不需要 |
1.62 |
1.75 |
邻接 |
高 |
无 |
需要 |
1.18 |
1.28 |
邻接 |
高 |
低 |
不需要 |
1.18 |
1.40 |
邻接 |
高 |
低 |
需要 |
0.86 |
1.02 |
邻接 |
高 |
高 |
不需要 |
0.51 |
1.03 |
邻接 |
高 |
高 |
需要 |
0.38 |
0.75 |
本地 |
低 |
无 |
不需要 |
2.52 |
2.72 |
本地 |
低 |
无 |
需要 |
1.83 |
1.98 |
本地 |
低 |
低 |
不需要 |
1.83 |
2.17 |
本地 |
低 |
低 |
需要 |
1.34 |
1.59 |
本地 |
低 |
高 |
不需要 |
0.80 |
1.60 |
本地 |
低 |
高 |
需要 |
0.58 |
1.17 |
本地 |
高 |
无 |
不需要 |
1.44 |
1.55 |
本地 |
高 |
无 |
需要 |
1.05 |
1.13 |
本地 |
高 |
低 |
不需要 |
1.05 |
1.24 |
本地 |
高 |
低 |
需要 |
0.76 |
0.91 |
本地 |
高 |
高 |
不需要 |
0.46 |
0.91 |
本地 |
高 |
高 |
需要 |
0.33 |
0.67 |
物理 |
低 |
无 |
不需要 |
0.91 |
0.99 |
物理 |
低 |
无 |
需要 |
0.67 |
0.72 |
物理 |
低 |
低 |
不需要 |
0.67 |
0.79 |
物理 |
低 |
低 |
需要 |
0.49 |
0.58 |
物理 |
低 |
高 |
不需要 |
0.29 |
0.58 |
物理 |
低 |
高 |
需要 |
0.21 |
0.42 |
物理 |
高 |
无 |
不需要 |
0.52 |
0.56 |
物理 |
高 |
无 |
需要 |
0.38 |
0.41 |
物理 |
高 |
低 |
不需要 |
0.38 |
0.45 |
物理 |
高 |
低 |
需要 |
0.28 |
0.33 |
物理 |
高 |
高 |
不需要 |
0.17 |
0.33 |
物理 |
高 |
高 |
需要 |
0.12 |
0.24 |
机密性影响 |
完整性影响 |
可用性影响 |
影响性指标评分 |
|
范围不变 |
范围改变 |
|||
高 |
高 |
高 |
5.87 |
6.53 |
高 |
高 |
低 |
5.45 |
6.45 |
高 |
高 |
无 |
5.18 |
6.22 |
高 |
低 |
高 |
5.45 |
6.45 |
高 |
低 |
低 |
4.70 |
5.69 |
高 |
低 |
无 |
4.22 |
5.09 |
高 |
无 |
高 |
5.18 |
6.22 |
高 |
无 |
低 |
4.22 |
5.09 |
高 |
无 |
无 |
3.60 |
4.31 |
低 |
高 |
高 |
5.45 |
6.45 |
低 |
高 |
低 |
4.70 |
5.69 |
低 |
高 |
无 |
4.22 |
5.09 |
低 |
低 |
高 |
4.70 |
5.69 |
低 |
低 |
低 |
3.37 |
4.03 |
低 |
低 |
无 |
2.51 |
2.94 |
低 |
无 |
高 |
4.22 |
5.09 |
低 |
无 |
低 |
2.51 |
2.94 |
低 |
无 |
无 |
1.41 |
1.55 |
无 |
高 |
高 |
5.18 |
6.22 |
无 |
高 |
低 |
4.22 |
5.09 |
无 |
高 |
无 |
3.60 |
4.31 |
无 |
低 |
高 |
4.22 |
5.09 |
无 |
低 |
低 |
2.51 |
2.94 |
无 |
低 |
无 |
1.41 |
1.55 |
无 |
无 |
高 |
3.60 |
4.31 |
无 |
无 |
低 |
1.41 |
1.55 |
无 |
无 |
无 |
0.00 |
0.00 |
注:最后一种组合对机密性、完整性和可用性均无影响,忽略此组合。 |
漏洞评分 | 漏洞等级 |
9.0-10 | 超危 |
7.0-8.9 | 高危 |
4.0-6.9 | 中危 |
0-3.9 | 低危 |
影响范围 |
改变 |
脆弱性组件是phpMyAdmin,受影响组件是受害者的浏览器 |
||
攻击途径 |
网络 |
脆弱性组件是web应用 |
||
攻击复杂度 |
低 |
攻击者只需要对目标系统做一些简单的调查,一些需要的条件很容易获得 |
||
权限要求 |
无 |
不需要权限就可以发动攻击 |
||
用户交互 |
需要 |
需要受害者访问受影响的网站 |
||
机密性影响 |
低 |
攻击者可以获取受害者web浏览器维护的信息,但局限于与运行phpMyAdmin的web站点有关联的信息 |
||
完整性影响 |
低 |
攻击者可以修改受害者web浏览器维护的信息,但仅限于与运行phpMyAdmin的web站点有关联的信息 |
||
可用性影响 |
无 |
恶意代码能够降低受害者浏览器的性能,但是影响通常很小并且受害者能够关闭浏览器中断影响 |
||
漏洞评分 |
6.1 |
危害等级 |
中危 |
影响范围 |
改变 |
脆弱性组件是一个VMX进程,受影响组件是主机操作系统 |
||
攻击途径 |
网络 |
VMX进程在网络栈,攻击者可远程发送RPC命令 |
||
攻击复杂度 |
低 |
要求虚拟机有4GB内存,低于4GB内存的虚拟机不受影响 |
||
权限要求 |
低 |
攻击者需要guest权限 |
||
用户交互 |
不需要 |
攻击者可在任意时刻发送RPC命令,不需要用户参与 |
||
机密性影响 |
高 |
攻击者可在主机操作系统上执行任意代码 |
||
完整性影响 |
高 |
攻击者可在主机操作系统上执行任意代码 |
||
可用性影响 |
高 |
攻击者可在主机操作系统上执行任意代码,导致拒绝服务 |
||
漏洞评分 |
9.9 |
危害等级 |
超危 |
影响范围 |
改变 |
脆弱性组件是Junos设备自身,受影响组件是感染ARP的所有设备 |
||
攻击途径 |
邻接 |
漏洞利用局限于局域网 |
||
攻击复杂度 |
低 |
攻击者构造ARP包的复杂度低 |
||
权限要求 |
无 |
无权限要求 |
||
用户交互 |
无 |
不需要用户交互 |
||
机密性影响 |
高 |
攻击者可读取目标用户的任意网络数据 |
||
完整性影响 |
无 |
攻击者不能修改目标用户的网络数据 |
||
可用性影响 |
高 |
可造成受影响组件完全拒绝服务 |
||
漏洞评分 |
9.3 |
危害等级 |
超危 |
影响范围 |
改变 |
脆弱性组件是Adobe Acrobat和Reader,受影响组件是本地系统 |
||
攻击途径 |
本地 |
本地软件包含漏洞,需要通过打开畸形文档才能触发漏洞 |
||
攻击复杂度 |
低 |
不需要特定的条件 |
||
权限要求 |
无 |
无权限要求 |
||
用户交互 |
需要 |
需要用户打开畸形文档 |
||
机密性影响 |
高 |
考虑最坏情况,若受害者有管理员权限,对系统的机密性影响高 |
||
完整性影响 |
高 |
考虑最坏情况,若受害者有管理员权限,对系统的完整性影响高 |
||
可用性影响 |
高 |
考虑最坏情况,若受害者有管理员权限,对系统的可用性影响高 |
||
漏洞评分 |
8.6 |
危害等级 |
高危 |
影响范围 |
不改变 |
脆弱性组件和受影响组件均是iCloud子系统 |
||
攻击途径 |
物理 |
攻击者需要物理接触设备 |
||
攻击复杂度 |
低 |
攻击步骤简单 |
||
权限要求 |
无 |
考虑最坏情况,假设设备没有使用PIN保护 |
||
用户交互 |
不需要 |
不需要用户交互 |
||
机密性影响 |
无 |
该漏洞不会造成直接的机密性影响 |
||
完整性影响 |
高 |
由于该功能的重要性,因为完整性影响高 |
||
可用性影响 |
无 |
该漏洞不会造成直接的可用性影响 |
||
漏洞评分 |
4.6 |
危害等级 |
中危 |
影响范围 |
不改变 |
脆弱性组件和受影响组件均是OpenSSL |
||
攻击途径 |
网络 |
OpenSSL是网络应用,攻击者可远程利用该漏洞 |
||
攻击复杂度 |
高 |
攻击者必须能够监视和修改受害者的网络数据 |
||
权限要求 |
无 |
无权限要求 |
||
用户交互 |
不需要 |
不需要用户交互 |
||
机密性影响 |
高 |
攻击者能够解密客户端和服务器间所有的SSL/TLS通信数据 |
||
完整性影响 |
高 |
攻击者能够解密客户端和服务器间所有的SSL/TLS通信数据 |
||
可用性影响 |
无 |
不会对SSL/TLS回话造成可用性影响 |
||
漏洞评分 |
7.4 |
危害等级 |
高危 |