每有重大CVE出现,必有人于团队之聊室贴CVSS之向量,众皆佯作洞悉。噫吁嚱:多数人唯睹其数耳。九一分,要紧之极。) 吾不知其余。
事在於此數僅能告之何其严重也诸君,此向量示汝以道。何故 — 是故,其应亦全然异矣.
其一:CVSS何也?
CVSS (Common Vulnerability Scoring System)者,乃量度安全之隙之筹也。非徒授一数耳:更予一向,此实乃攻伐之状之缩略述也。
有二版本,尔将次第睹之。版本三之一(今最常见者)且版本四(最新而详尽者)。吾将释二者。
灵光乍现
明镜之度
0.1–3.9 低
四至六点九,中
七至八有九高
9.0–10.0 严重盗贼之喻
欲明CVSS之向量,可喻漏洞为入室行窃之径。CVSS乃答“窃”之问:
🏠 Analogía **¿Desde dónde puede atacar el ladrón?** ¿Desde la calle, o tiene que estar en el jardín? *(Attack Vector)* **¿Es difícil entrar?** ¿Puerta abierta o cerradura de alta seguridad? *(Attack Complexity)* **¿Necesita una llave?** ¿O entra sin nada? *(Privileges Required)* **¿Alguien tiene que abrir la puerta desde adentro?** *(User Interaction)* **¿Qué se puede robar?** Documentos, muebles, o puede romper cosas también. *(Impactos: C/I/A)*CVSS v3.1 — 字字珠玑
取CVE-2024-9465(Palo Alto Expedition)之实例向量:
CVSS v3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N Código Nombre Valor en este CVE Qué significa en palabras simples AV:N Attack Vector — Network 🔴 Peligroso El atacante no necesita estar cerca físicamente. Puede atacar desde cualquier lugar del mundo por internet. *(N=Network, A=Adjacent, L=Local, P=Physical)* AC:L Attack Complexity — Low 🔴 Peligroso El ataque es fácil de ejecutar. No requiere condiciones especiales, timing exacto ni conocimiento avanzado. Cualquiera con el exploit puede hacerlo. *(L=Low, H=High)* PR:N Privileges Required — None 🔴 Peligroso El atacante no necesita ninguna cuenta ni contraseña previa. Llega, ataca, listo. *(N=None, L=Low, H=High)* UI:N User Interaction — None 🔴 Peligroso Ningún usuario tiene que hacer clic en nada, abrir ningún archivo ni visitar ningún enlace. El ataque funciona solo. *(N=None, R=Required)* S:U Scope — Unchanged ⚪ Neutral El impacto se queda en el sistema atacado. No "salta" automáticamente a otros sistemas. *(U=Unchanged, C=Changed)* C:H Confidentiality — High 🔴 Crítico Toda la información confidencial queda expuesta: contraseñas, API keys, configuraciones. El atacante puede leer todo. *(N=None, L=Low, H=High)* I:H Integrity — High 🔴 Crítico El atacante puede modificar o crear datos. En este caso, puede escribir archivos arbitrarios en el sistema. *(N=None, L=Low, H=High)* A:N Availability — None 🟢 Sin impacto El atacante no puede tirar el sistema. El servicio sigue disponible mientras lo explotan en silencio. *(N=None, L=Low, H=High)*⚠️
⚠️ 之如何读其果
AV:N + AC:L + PR:N + UI:N 于同矢,则"凡在网间,不费气力,无帐户,无人助",皆可施其攻。此,合C:H,乃机密之最恶配也.CVSS v4.0 — 其变何在?
此版本新至详备。析其影响为二:直攻之系统(脆弱系统)与或受波及之系统(次生系统)。
CVSS v4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:H/SI:N/SA:N Código Nombre Valor Qué significa AV:N Attack Vector — Network 🔴 Igual que en v3.1: ataque desde internet, sin estar cerca. AC:L Attack Complexity — Low 🔴 Fácil de ejecutar, sin condiciones especiales. AT:N Attack Requirements — None 🔴 **Nuevo en v4.0.** El ataque no depende de ninguna condición externa que no controle el atacante (como que haya sesiones activas o configuraciones específicas). *(N=None, P=Present)* PR:N Privileges Required — None 🔴 Sin cuenta, sin autenticación. UI:N User Interaction — None 🔴 Nadie tiene que hacer nada para que el ataque funcione. VC:H Vulnerable System Confidentiality — High 🔴 **El sistema atacado (Expedition):** toda su información queda expuesta. Hashes, configs, API keys. VI:L Vulnerable System Integrity — Low 🟡 **El sistema atacado:** el atacante puede modificar algunos datos, pero no tiene control total de escritura. Impacto parcial en integridad. VA:N Vulnerable System Availability — None 🟢 **El sistema atacado:** sigue funcionando. No hay denegación de servicio. SC:H Subsequent System Confidentiality — High 🔴 **Otros sistemas (los firewalls PAN-OS):** como las API keys quedan expuestas, los firewalls también quedan comprometidos en confidencialidad. El daño se propaga. SI:N Subsequent System Integrity — None 🟢 **Otros sistemas:** el atacante no puede modificar datos en los firewalls directamente a través de este vector. SA:N Subsequent System Availability — None 🟢 **Otros sistemas:** no puede tumbar los firewalls con este ataque.💡
💡 v4.0之巨进
v4.0别其影响于VC/VI/VA(直击系统)与SC/SI/SA(后受影响系统)。此CVE中,其要义在:Expedition因API密钥泄露,致防火墙受损。v3.1未能善察此链式效应。视觉概要:速读向量之法
CVSS:3.1 / AV:? / AC:? / PR:? / UI:? / S:? / C:? / I:? / A:?
> │ │ │ │ │ │ │ └─ ¿Se cae el servicio?
> │ │ │ │ │ │ └──────── ¿Puede modificar datos?
> │ │ │ │ │ └─────────────── ¿Puede leer datos privados?
> │ │ │ │ └───────────────────── ¿El daño se propaga a otros sistemas?
> │ │ │ └───────────────────────────── ¿Alguien tiene que hacer clic?
> │ │ └───────────────────────────────────── ¿Necesita cuenta o contraseña?
> │ └───────────────────────────────────────────── ¿Es difícil ejecutarlo?
> └───────────────────────────────────────────────────── ¿Desde dónde puede atacar?
>
> Valores de riesgo (de mayor a menor):
> N (None) / H (High) = 🔴 → Peor escenario
> L (Low) = 🟡 → Impacto parcial
> N (None en impacto) = 🟢 → Sin efecto en esa categoría
概括全篇之句
若睹 CVE-2024-9465 之属,先为单句译之,而后呈于众:
📝 Traducción al español **"Cualquier persona en internet puede atacar este sistema sin credenciales ni ayuda de nadie, y obtener acceso completo a todos los datos confidenciales, incluyendo las llaves de tus firewalls."**此即向量所言之义。今乃知其何以得 9.2 分。
结论
CVSS 之数,示汝当否忧之。向量,则示忧之若何。安危之兆,最险莫若此:易犯,远遁,不假外求。既见其状,当先行而后思。✅
✅ 行之有术
✅✅ 规矩之要
若前四域为 安危无虞 / 接触难 / 权限非 / 用户无 — 攻者可为网中任何一人,不费力气,无帐号,无援手,即可施袭。今日即寻之。Compartir 🐦 Twitter/X 💼 LinkedIn有益乎?
吾有所值,则发此等文。
Suscribirse ← Anterior CVE-2024-9465: SQL Injection en Palo Alto Expedition — CVSS 9.2 Todos los posts → Ver el blog completo byron.lainez © 2026 · Guatemala 🇬🇹