CVSS 是一个用于评估软件安全漏洞严重性的标准化框架，用于根据可利用性、对机密性、完整性、可用性和所需权限的影响来分配数字分数或定性表示（例如低、中、高和关键），并具有更高的权限。分数表示更严重的漏洞。

• 强化 CVSS 不仅仅是基本分数的概念

• 添加了新的术语来识别基础 (CVSS-B)、基础 + 威胁 (CVSS-BT)、基础 + 环境 (CVSS-BE) 和基础 + 威胁 + 环境 (CVSS-BTE) 的组合

• 通过添加新的基本指标和值来实现更细的粒度：

• 新的基本指标：攻击要求 (AT)

• 新的基本指标值：用户交互 (UI)：被动 (P) 和主动 (A)

• 增强影响指标的披露：

• 范围已退役

• 明确评估对脆弱系统（VC、VI、VA）和后续系统（SC、SI、SA）的影响

• 时间指标组重命名为威胁指标组

• 威胁指标得到简化和明确

• 修复级别 (RL) 和报告置信度 (RC) 已停用

• 利用“代码”成熟度重命名为利用成熟度 (E)，具有更清晰的值

• 新的补充指标组可传达漏洞的其他外在属性，这些属性不会影响最终的 CVSS-BTE 分数

• 安全（S）

• 自动化 (A)

• 恢复（R）

• 价值密度（V）

• 漏洞响应工作 (RE)

• 提供商紧急度 (U)

• 更多关注 OT/ICS/安全

• 消费者评估的安全性（MSI:S、MSA:S）

• 提供商通过安全 (S) 补充指标评估安全