很多人第一次打开 NVD(ffeK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6F1N6X3c8Q4x3X3g2F1K9i4y4@1i4K6u0W2k6$3!0$3i4K6u0r3)的某条 CVE 详情页,看到 分数、向量、CWE、CPE、Source、References 等字段会一头雾水:这些字段到底是给谁看的?分别解决什么问题?你可以把 NVD 页面理解成一个:“漏洞档案夹 + 结构化数据接口的展示层”它以 CVE 体系的漏洞记录为上游来源,把原始披露信息进一步补齐、标准化、结构化,让漏洞信息能真正进入 检索、统计、自动化匹配与漏洞管理落地 的流程。一句话总结:Description 通常回答四个关键问题,你可以按这个顺序读:NVD 页面最常用的是 Base 分数 + 向量字符串。
Temporal / Environmental 更像 你组织内部的二次定级,用于把通用评分变成可执行优先级。CVSS 向量是把打分依据压缩成一串字段,例如 CVSS v3.1 常见格式以 CVSS:3.1/ 开头,后面每个指标用 / 分隔。CVSS v3.1 常见字段速查:NVD 会为 CVE 关联 适用性声明(CPE match strings),使工具能够:从而实现规模化:资产越多、自动匹配越重要。NVD 的 References 通常包含三类信息:常见字段包括:用时间线判断:信息新不新、改了什么。
CVE ID 是公开披露漏洞的 “统一编号 / 共同语言”,让不同厂商、工具、团队能确认讨论的是同一个漏洞
CVE Record 通常包含:漏洞描述、受影响产品线索、参考链接等(信息深度视发布方而定)
CNA(CVE Numbering Authority) 是被 CVE Program 授权的组织:
可以分配 CVE ID
可以发布 / 维护 CVE Record(很多时候漏洞首次公开披露时就会发布初版记录)
常见 CNA 包括大型厂商、安全机构、开源项目组织等
可以分配 CVE ID
可以发布 / 维护 CVE Record(很多时候漏洞首次公开披露时就会发布初版记录)
NVD 基于 CVE 上游数据,进一步补充整理为便于使用的字段,例如:
CVSS 评分 / 向量
CWE 弱点分类
CPE 受影响产品映射与配置逻辑
References 参考链接及标签
NVD 的价值:让漏洞信息更适合进入企业的自动化流程(资产匹配、统计报表、优先级排序、联动扫描/告警等)
CVSS 评分 / 向量
CWE 弱点分类
CPE 受影响产品映射与配置逻辑
References 参考链接及标签
CVE 负责“编号与记录”
CNA 负责“分配与发布/维护”
NVD 负责“整理、补全、结构化呈现”
CVSS 是通用漏洞评分体系(由 FIRST 维护),不同组织与工具链可能仍在使用不同版本
NVD 同时展示多版本,是为了兼容历史系统与行业迁移节奏
Base(基础分):漏洞“固有属性”(利用难度、影响范围等),不随时间和环境改变
Temporal(时间分):会随时间变化(是否出现成熟利用、是否有补丁、修复可信度等)
Environmental(环境分):与组织具体环境相关(资产重要性、部署场景、补偿措施、安全控制等)
AV(Attack Vector) 攻击路径:网络 / 邻接 / 本地 / 物理
AC(Attack Complexity) 利用复杂度:低 / 高
PR(Privileges Required) 所需权限:无 / 低 / 高
UI(User Interaction) 用户交互:需要 / 不需要
S(Scope) 影响范围是否跨边界:Unchanged / Changed
C / I / A(影响三要素):对机密性/完整性/可用性的影响(None/Low/High)
同一条 CVE 可能会出现 不同来源的评分
有时 NVD 的评估暂未完成,页面会先展示 **CNA(发布方)**提供的 CVSS,而 NVD 自己的部分可能显示 N/A 或等待分析
这意味着:你仍可参考 CNA 的评分与向量,但要留意后续 NVD 补全带来的变化(尤其是受影响范围与配置逻辑)
CWE(Common Weakness Enumeration) 是 MITRE 维护的弱点枚举:把漏洞背后的“常见错误模式”标准化(如 SQL 注入、不安全反序列化、越界读写、权限校验缺失等)
NVD 在详情页用 CWE 做弱点归类与映射,便于:
做统计(哪个弱点家族最常见)
做培训与编码规范改进(把漏洞治理从“补洞”提升到“减少同类洞”)
补充:常见 CWE 编号与对应漏洞类型
● CWE-79:跨站脚本(XSS)
● CWE-89:SQL 注入(SQL Injection)
● CWE-78:OS 命令注入(Command Injection)
● CWE-22:路径遍历(Path Traversal)
● CWE-434:不受限制的文件上传(Unrestricted File Upload)
● CWE-502:不安全反序列化(Deserialization of Untrusted Data)
● CWE-287:身份认证不当(Improper Authentication,常见认证绕过类)
● CWE-862:缺失授权(Missing Authorization,常见越权/IDOR 类)
● CWE-200:信息泄露(Exposure of Sensitive Information)
● CWE-918:SSRF(Server-Side Request Forgery)
做统计(哪个弱点家族最常见)
做培训与编码规范改进(把漏洞治理从“补洞”提升到“减少同类洞”)
CPE(Common Platform Enumeration) 用标准格式命名 IT 产品,便于自动化资产识别与漏洞匹配
NVD 提供 CPE Product Dictionary(官方 CPE 名称字典),帮助统一“产品叫法”
URL:链接本体
Source(s):引用来源(CNA、厂商、政府机构、研究者、第三方等)
Tag(s):链接类型标签
KEV(Known Exploited Vulnerabilities Catalog) 是 CISA 维护的“已在野利用”漏洞目录
它的意义在于:优先级不再只靠理论评分,而是结合真实世界攻击活动
通常来说:一旦进入 KEV,就应进入 最高优先级修复队列(结合你组织资产暴露面与可利用条件快速落地)
NVD 既展示来自 CVE Program 的状态,也会显示自己的处理状态
有些条目会出现 “未分析/等待处理/暂缺字段” 等情况:通常代表 NVD 的补全工作还没完成,或上游信息仍在变化
实务上:遇到字段缺失时,优先从 CNA/厂商公告 获取关键信息,并关注后续变更
Published Date / Last Modified
...(已截断)
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-289562.htm
[原创]CVE漏洞数据库(NVD)的漏洞指标的解读
96 浏览
4 回复
解释的非常清晰
NVD的结构化数据和标准化呈现,为网络安全防护提供了有力支撑,枣庄学院的经验值得
Android 17的定位功能确实带来了很多新变化,尤其是定位按钮的设计,让用户更直观地控制权限。这种“用的时候才给”的方式既提升了用户体验,又加强了隐私保护。模糊定位的改进也很实用,动态网格算法在
NVD的结构化数据展示确实非常实用,尤其是对安全从业者来说,CVSS评分和向量字段能快速帮助我们评估漏洞的严重性。CPE和CWE的分类也让漏洞管理和统计变得更加高效,特别是对于像iOS这样的系统,能