فرض کنید دو آسیبپذیری مختلف در سرور شما شناسایی شده است.
اولی باعث افشای نسخه نرمافزار میشود.
دومی به مهاجم اجازه میدهد بدون احراز هویت کنترل کامل سرور را در اختیار بگیرد.
واضح است که این دو آسیبپذیری اهمیت یکسانی ندارند.
اما چگونه میتوان شدت آنها را بهصورت استاندارد اندازهگیری کرد؟

برای پاسخ به این سؤال، استانداردی به نام CVSS (Common Vulnerability Scoring System) ایجاد شده است.
امروزه تقریباً تمام شرکتهای امنیتی، ابزارهای اسکن آسیبپذیری و سامانههای مدیریت امنیت از CVSS برای تعیین شدت فنی آسیبپذیریها استفاده میکنند.
در این مقاله با مفهوم CVSS، نحوه امتیازدهی، سطوح شدت، مثالهای واقعی و تفاوت آن با CVE و Risk آشنا خواهیم شد.
CVSS مخفف عبارت Common Vulnerability Scoring System است.
CVSS یک استاندارد بینالمللی برای اندازهگیری شدت فنی آسیبپذیریها است.
به بیان ساده:
CVSS مشخص میکند یک آسیبپذیری از نظر فنی چقدر خطرناک است.
فرض کنید روی یک سرور، ۱۵۰ آسیبپذیری پیدا شده است.
آیا باید همه آنها را به یک اندازه جدی گرفت؟
خیر.
برخی از آنها:
فقط باعث افشای اطلاعات میشوند.
برخی نیاز به دسترسی محلی دارند.
بعضی تنها در شرایط خاص قابل سوءاستفاده هستند.
برخی دیگر امکان اجرای کد از راه دور بدون احراز هویت را فراهم میکنند.
CVSS به ما کمک میکند این آسیبپذیریها را بر اساس شدت فنی اولویتبندی کنیم.
امتیاز CVSS بین ۰ تا ۱۰ است.
هرچه عدد بزرگتر باشد، شدت آسیبپذیری بیشتر است.
امتیازسطح شدت0.0None0.1 تا 3.9Low4.0 تا 6.9Medium7.0 تا 8.9High9.0 تا 10.0Critical
فرض کنید گزارش اسکن آسیبپذیری چنین نتیجهای را نمایش میدهد:
CVECVSS
CVE-2026-111112.8
CVE-2026-222225.6
CVE-2026-333338.2
CVE-2026-444449.8
در این حالت:
ابتدا باید آسیبپذیری با امتیاز ۹.۸ بررسی و اصلاح شود.
سپس آسیبپذیریهای High.
در نهایت آسیبپذیریهای Medium و Low.

CVSS تنها یک عدد تصادفی نیست.
این امتیاز بر اساس عوامل مختلفی محاسبه میشود.
از جمله:
امکان حمله از راه دور
نیاز یا عدم نیاز به احراز هویت
پیچیدگی حمله
میزان دسترسی مهاجم
تأثیر بر محرمانگی (Confidentiality)
تأثیر بر یکپارچگی (Integrity)
تأثیر بر دسترسپذیری (Availability)
به همین دلیل، دو آسیبپذیری مشابه ممکن است امتیازهای متفاوتی داشته باشند.
فرض کنید دو آسیبپذیری وجود دارد.
نیاز به دسترسی فیزیکی دارد.
فقط باعث مشاهده نسخه نرمافزار میشود.
امتیاز تقریبی:
CVSS 2.1
از اینترنت قابل سوءاستفاده است.
نیازی به احراز هویت ندارد.
امکان اجرای کد از راه دور را فراهم میکند.
امتیاز تقریبی:
CVSS 9.8
مشخص است که اولویت رفع آسیبپذیری دوم بسیار بالاتر است.
فرض کنید نسخه قدیمی OpenSSH روی سرور نصب شده است.
اگر گزارش امنیتی نشان دهد:
CVSS 9.3
یعنی این آسیبپذیری از نظر فنی بسیار خطرناک است و باید هرچه سریعتر وصله امنیتی نصب شود.
مایکروسافت هر ماه دهها آسیبپذیری را اصلاح میکند.
اگر یک CVE دارای امتیاز:
CVSS 9.8
باشد، معمولاً بهعنوان یک آسیبپذیری بحرانی (Critical) شناخته میشود و باید در اولویت نصب وصله قرار گیرد.
فرض کنید افزونهای در WordPress دارای آسیبپذیری Remote Code Execution باشد.
اگر امتیاز آن:
CVSS 9.9
باشد، یعنی:
حمله آسان است.
خسارت بالقوه زیاد است.
احتمال سوءاستفاده بالاست.
در این شرایط، بهروزرسانی افزونه باید در اولویت قرار گیرد.
خیر.
این یکی از رایجترین سوءبرداشتها در امنیت سایبری است.
CVSS فقط شدت فنی آسیبپذیری را بیان میکند.
اما Risk به شرایط واقعی سازمان بستگی دارد.
فرض کنید یک آسیبپذیری با امتیاز:
CVSS 9.8
در سرویسی وجود دارد که:
غیرفعال است.
از اینترنت قابل دسترسی نیست.
پشت فایروال قرار دارد.
در این حالت، اگرچه CVSS بسیار بالاست، اما ریسک واقعی ممکن است پایین باشد.
برعکس، یک آسیبپذیری با امتیاز متوسط روی سرور اصلی سازمان که در اینترنت در دسترس است، میتواند ریسک بسیار بیشتری ایجاد کند.
برای مدیریت مؤثر آسیبپذیریها:
داراییهای فناوری اطلاعات را شناسایی کنید.
بهطور منظم اسکن آسیبپذیری انجام دهید.
CVEهای جدید را بررسی کنید.
CVSS را برای اولویتبندی در نظر بگیرید.
ریسک واقعی سازمان را ارزیابی کنید.
وصلههای امنیتی را نصب کنید.
دوباره اسکن انجام دهید تا از رفع مشکل مطمئن شوید.
در این مجموعه آموزشی، زنجیره مفاهیم به شکل زیر تکمیل میشود:
Attack Surface مسیرهای ورود را مشخص میکند.
Threat عامل بالقوه حمله است.
Vulnerability ضعف موجود در سیستم است.
CVE شناسه آن آسیبپذیری است.
CVSS شدت فنی آن آسیبپذیری را مشخص میکند.
Exploit از آسیبپذیری سوءاستفاده میکند.
Risk احتمال و پیامد موفقیت حمله را برای سازمان ارزیابی میکند.
CVSS یک استاندارد جهانی برای اندازهگیری شدت فنی آسیبپذیریها است. این سیستم با اختصاص امتیازی بین ۰ تا ۱۰، به مدیران سیستم و کارشناسان امنیت کمک میکند تا آسیبپذیریها را بر اساس اهمیت فنی اولویتبندی کنند.
با این حال، تصمیمگیری امنیتی نباید فقط بر اساس CVSS انجام شود. شرایط واقعی زیرساخت، ارزش داراییها، میزان دسترسی مهاجمان و کنترلهای امنیتی موجود نیز باید در ارزیابی نهایی در نظر گرفته شوند. به همین دلیل، CVSS ابزاری برای اولویتبندی فنی است، در حالی که Risk تصویر کاملتری از وضعیت امنیتی سازمان ارائه میدهد.
کیان پور