Принцип оценки уязвимостей с помощью CVSS (Common Vulnerability Scoring System) заключается в том, что оценки рассчитываются по специальным формулам на основе нескольких метрик. 2 Они приблизительно оценивают простоту внедрения эксплойта и его влияние на компьютерную систему. 2

Выделяют три типа метрик: 5

1. Базовые. 5 Общие метрики, описывающие уязвимость и не зависящие от времени или конкретного окружения. 5 К ним относятся, например, вектор атаки, сложность атаки, необходимость каких-либо действий со стороны пользователя и уровень привилегий, которые требуются злоумышленнику для реализации атаки. 5
2. Метрики воздействия. 5 Касаются последствий эксплуатации уязвимости для системы и хранящихся в ней данных. 5 Например, может ли атакующий вывести систему из строя, получить доступ к конфиденциальным данным, модифицировать файлы и т. д.. 5
3. Временные метрики. 5 Описывают внешние факторы, которые могут измениться с течением времени. 5 Например, наличие доступного эксплойта или, наоборот, патча. 5

На основании метрик с помощью набора формул вычисляется оценка CVSS Score. 5 Она может принимать значение от 0 до 10, где 0 означает, что уязвимость не представляет серьёзной угрозы, а 10 — что уязвимость представляет чрезвычайно серьёзную угрозу. 4