以一个B站必剪应用Bug过一下CVSS 4.0评分

Bug的内容就是Mac上的必剪无法完成B站视频上传新手任务。

这个从B站客服那里确认了。

没多大事儿,这是个设备相关的bug,我们也可以认为这样的小bug对用户是无害的,此时评分为0,无影响,但从学习角度出发我们将部分评分提高到L,也就是假设这是个CVE的话,聊一下安全问题。

带大家过一下CVSS4.0打分体系中关于供应链设备的部分。

项目 评分 解释
可利用性指标
攻击方式 N(网络) 上传一个视频,内容过审即可
攻击复杂性 L(低) 不需要专业知识
攻击要求 N(无) 不需要攻击者攻击特定部署和执行条件
所需权限 L(低) 一般用户即可
用户交互 A(活动) 需要用户上传视频
影响指标
保密性 N 不存在保密性损失
后续保密性 N 不存在后续系统级别影响
完整性 N 没有完整性损失
后续完整性 N 没有后续完整性损失
可用性 L(低) 没有直接严重后果,但是功能失效,我们也可以认为这样的小bug对用户是无害的,此时评分为0,无影响,但从学习角度出发我们将这部分提高到L
后续可用性 L(低) 没有直接严重后果,但是功能失效,我们也可以认为这样的小bug对用户是无害的,此时评分为0,无影响,但从学习角度出发我们将这部分提高到L
威胁指标
在本文中披露了这个bug作为bug披露 A 本文是已知问题
环境相关指标(这个给B站自己填去,我们不知道服务器运作方式)
设备类型指标
安全 N 在IEC 61508范围内没有安全影响
自动化 X 不清楚其API安全组成
供应商紧急程度 最低 给出的反馈方式为信息性
回收率 X
值密度 X
脆弱性相应工作 L 其实在网页上加个公告,或者写个job数据库刷一下都行,但实际上并不做。

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L/E:A/S:N/RE:L/U:Clear

评分 4.8

重申,我们也可以认为这样的小bug对用户是无害的,此时

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N/E:A/S:N/RE:L/U:Clear

评分 0

欢迎大家就这个例子讨论对于CVSS 4.0的理解和认识。

相关推荐
零零信安14 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
憧憬成为web高手14 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub14 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
爱网络爱Linux14 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
xsc-xyc14 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
持敬chijing14 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
Chengbei1114 天前
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。
sql·安全·web安全·网络安全·自动化·系统安全·xss
X7x514 天前
深度拆解网络安全“闭环”之王——APPDRR模型
网络安全·网络攻击模型·安全威胁分析·安全架构·appdrr模型
Inhand陈工14 天前
污水泵站PLC数据上云实战:西门子PLC + 映翰通IG502 + DM平台全流程
人工智能·物联网·网络安全·阿里云·信息与通信·iot
X7x514 天前
一文讲透PADIMEE模型
网络安全·网络攻击模型·安全威胁分析·安全架构·padimee模型