Уязвимости по степени риска классифицируются по десятибалльной шкале в соответствии с отраслевым стандартом Common Vulnerability Scoring System (CVSS): 12

1. Незначительные — 0,1–3,9 баллов. 1 Затрагивают не особенно важные данные или вызывают незначительные сбои в работе системы. 1
2. Средние — 4,0–6,9 баллов. 1 Могут привести к частичному нарушению функциональности или значительному снижению уровня безопасности. 1
3. Высокие — 7,0–8,9 баллов. 1 Могут легко поставить под угрозу конфиденциальность, целостность или доступность данных. 3
4. Критические — 9,0–10,0 баллов. 1 Позволяют злоумышленнику получить полный контроль над системой или целиком нарушить её работу. 1

Баллы формируются на основании восьми показателей: 2

• Вектор атаки (AV) — «удалённость» атаки и способ эксплуатации уязвимости. 2
• Сложность атаки (AC) — сложность выполнения атаки, факторы, необходимые для её успеха. 2
• Взаимодействие с пользователем — требует ли атака активного участия человека или её можно автоматизировать. 2
• Требуемые привилегии (PR) — уровень аутентификации пользователя, необходимый для успешной атаки. 2
• Область действия (S) — может ли злоумышленник повлиять на компонент за пределами его области/полномочия безопасности. 2
• Конфиденциальность — могут ли неавторизованные лица получить доступ к данным, и в какой степени. 2
• Целостность (I) — влияние на достоверность данных. 2
• Доступность (A) — влиянию на доступность данных или услуг для авторизованных пользователей. 2

Особенность CVSS в том, что оценка одной и той же уязвимости может различаться в зависимости от контекста организации. 1 Например, уязвимость в критической инфраструктуре получит более высокую оценку, чем такая же уязвимость в тестовой среде. 1