https://www.vulbox.com/faq/?id=195
    漏洞盒子漏洞等级评定标准依据为CVSS v3(Common Vulnerability Scoring System,即“通用漏洞评分系统”),根据漏洞对系统机密性(C)、完整性(I)、可用性(A)影响,将漏洞等级分为【严重】、【高危】、【中危】、【低危】四个等级。

    严重
    1.直接获取核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等;
    2.核心系统严重的信息泄露漏洞,包括但不限于核心DB的SQL注入、大量用户严重敏感身份信息泄露(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)、企业内部核心数据泄露等;
    3.核心系统严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码漏洞、任意账号资金消费、任意金额修改的支付漏洞等;
    4.严重影响核心系统可用性的漏洞,如可直接导致核心系统业务瘫痪的拒绝服务漏洞(如S2-020补丁绕过切换web目录可直接导致网站挂掉);

    高危
    1.直接获取重要业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行;
    2.直接导致重要的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞;重要业务大量源码泄露;
    3.严重的越权访问。包括但不限于绕过认证访问重要系统后台;批量盗取用户重要身份信息;
    4.较严重的逻辑设计或流程缺陷,包括但不限于重要系统任意密码重置漏洞;

    中危
    1.需交互才能获取用户身份信息的漏洞。包括但不限于核心及重要系统存储型XSS漏洞;
    2.任意文操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;
    3.普通的越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息;绕过限制访问非重要系统后台;
    4.比较严重的信息泄漏漏洞。包括但不限于敏感信息文件泄露(如DB连接密码);

    低危**
    1.反射型XSS;非重要系统存储型XSS;
    2.敏感操作的CSRF;URL跳转;危害有限的越权操作(如越权清空/添加购物车等);
    3.轻微信息泄漏。包括但不限于phpinfo;非核心系统的svn信息泄露;非重要信息的泄露(如不能利用的DB连接密码等);客户端应用本地SQL注入;
    4.难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点;客户端本地拒绝服务;
    其他不在细分类型里的问题,根据实际危害及CVSS进行综合评价。CVSS风险评估模型参:https://www.vulbox.com/faq#leakMark;