年初发布的一份研究报告无疑会让企业安全团队质疑仅凭美国国家漏洞数据库（NVD）中的漏洞评分来做出修复优先级决策是否明智。

VulnCheck对12万个CVE及其相关CVSS v3评分的分析显示，近2.5万个（大约20%）CVE都有两个严重性评分。一个评分出自维护NVD的美国国家标准与技术研究所（NIST），另一个出自含漏洞产品的供应商。很多情况下，这两个评分不尽相同，令安全团队不知道该信哪个。

冲突发生率很高

有两个严重性评分的漏洞中，大约56%（1.4万个）这俩评分相互冲突，也就是NIST给出的漏洞严重性评分不同于供应商给出的。供应商评估为中等严重性的漏洞，NIST可能认为是严重漏洞。

VulnCheck以Windows轻量级目录访问协议（LDAP）拒绝服务漏洞CVE-2023-21557为例加以阐述。范围为0~10分的CVSS评分中，微软给这漏洞打了7.5分，定为“高”危。NIST则评估为9.1分，认为是“严重”漏洞。NVD中关于此漏洞的信息并未透露为什么这两个评分不一样，且该数据库中遍布类似的评分冲突案例。

VulnCheck漏洞研究人员Jacob Baines表示，面对这么高的评分冲突率，漏洞管理团队本就资源不足的企业可能就更难开展漏洞缓解工作了。“重度依赖CVSS评分的漏洞管理系统有时候会优先处理并不严重的漏洞。”他说道，“而优先处理错误的漏洞会浪费掉漏洞管理团队最重要的资源：时间。”

VulnCheck研究人员发现，NIST和供应商在向数据库中添加漏洞相关特定信息方面也存在差异。研究人员着重审查了NVD中的跨站脚本（XSS）和跨站请求伪造（CSRF）漏洞。

分析显示，主源（通常是NIST）将数据库里1.2万个CVE中的12969个归为XSS漏洞，而辅助源列为XSS的CVE相较之下要少得多，为2091个。VulnCheck发现，辅助源很少提及XSS漏洞需要用户交互才能利用。CSRF漏洞评分也存在类似的差异。

“XSS和CSRF漏洞通常需要用户交互。”Baines称，“用户交互是CVSS v3的一个评分因素，存在于CVSS v3向量中。审查NVD中XSS和CSRF漏洞包含此信息的频率，可以揭示该数据库中评分错误的规模。”

不能仅凭严重性评分

基于通用漏洞评分系统（CVSS）的严重性评分旨在让修复和漏洞管理团队能够直观了解软件漏洞的严重程度。安全专业人员可以根据漏洞严重性评分判断漏洞是低风险、中风险还是高风险，还常可据此获得软件供应商在分配CVE时可能没提供的漏洞相关上下文。

很多企业采用CVSS标准给自己产品中的漏洞赋予严重性评分，安全团队通常会用该评分决定自身环境中脆弱软件的修复顺序。

尽管CVSS很普及，很多专业人士此前也都警告过，不能仅仅依靠CVSS可靠性评分来确定修复优先级。2022年美国黑帽大会的一场会议上，趋势科技零日计划（ZDI）研究人员Dustin Childs和Brian Gorenc就指出了不能单靠CVSS评分的多个原因，比如缺乏关于漏洞可利用性、漏洞普遍性，以及攻击容易程度等信息。

“企业资源有限，通常不得不确定先修复哪些漏洞。然而，如果他们获得的信息相互矛盾，可能最后会把资源花费在了不太可能被利用的漏洞上。”

Childs指出，企业通常依赖第三方产品来帮助确定漏洞的优先级，决定首先修复哪些漏洞。很多时候他们都倾向于采用来自供应商的CVSS评分而不是NIST这样的其他来源。

“但是，不能总是依赖供应商坦白真实的风险。供应商并不总能了解自家产品是怎么部署的，而这可能会导致目标运营风险上存在差异。”

Childs和Bains主张，企业在做出漏洞修复决策时应综合考虑多个来源的信息，还应该考虑一些其他因素，比如漏洞是否存在公开的野生漏洞利用程序，或者漏洞当下是否已经被广为利用了。

Baines表示：“想要准确确定漏洞的优先级，企业需要能够回答下列问题：这个漏洞是否存在公开的漏洞利用程序？已经遭到野生漏洞利用了吗？有没有被勒索软件或APT利用？是否可能暴露在互联网上？”

参考阅读
2022年漏洞管理报告要点梳理
针对痛点修复: 2023年有效的漏洞管理
超越XDR？安全观察、优先级与验证(SOPV)