CVSS（Common Vulnerability Scoring System）是一个用于衡量软件安全漏洞严重性的标准化方法。CVSS4.0版本相比于之前的版本在多个维度上进行了改进，包括攻击向量（Vector）、攻击复杂度（Complexity）、用户权限（User Interaction）、认证（Authentication）、隐私（Confidentiality）、完整性（Integrity）、系统范围（Scope）、修复建议（Exploitability）、基础分数（Base Score）和环境因子（Environmental Score）等方面。这些改进可以帮助企业和组织更准确地评估漏洞的风险，从而更好地制定安全策略和采取相应的措施。

一、攻击向量（Vector）

攻击向量是指攻击者利用漏洞进行攻击的路径。CVSS4.0将攻击向量分为三种类型：网络、物理和用户控制。网络攻击向量包括通过网络进行攻击的情形，如远程网络、子网和邮件等；物理攻击向量是指直接对系统或设备进行物理攻击的情形；用户控制攻击向量是指用户在正常操作中触发漏洞的情况，如社交工程、恶意文件等。

二、攻击复杂度（Complexity）

攻击复杂度是指攻击者利用漏洞所需的技术难度和资源。CVSS4.0将攻击复杂度分为三种类型：低、中和高度。低攻击复杂度意味着攻击者需要具备低级别的技术知识和资源才能利用漏洞；中攻击复杂度表示攻击者需要具备一定程度的技知识和资源才能利用漏洞；高攻击复杂度表明攻击者需要具备高级技术知识和资源才能利用漏洞。

三、用户权限（User Interaction）

用户权限是指用户在正常操作中触发漏洞所需的行为。CVSS4.0将用户权限分为三种类型：无、低和高。无用户权限意味着用户不需要进行任何操作即可触发漏洞；低用户权限表示用户需要执行一些特定的操作才能触发漏洞；高用户权限则表明用户需要执行高度特定的操作才能触发漏洞。

四、认证（Authentication）

认证是指攻击者是否需要获取用户凭据以利用漏洞。CVSS4.0将认证分为两种类型：单因素和多因素。单因素认证意味着攻击者只需要获取一个用户凭据即可利用漏洞；多因素认证则表示攻击者需要获取多个用户凭据才能利用漏洞。

五、隐私（Confidentiality）

隐私是指漏洞是否能够导致敏感信息的泄露。CVSS4.0将隐私分为三种类型：低、中和高。低隐私意味着漏洞不会导致敏感信息的泄露；中隐私表示漏洞可能会导致一定程度的敏感信息泄露；高隐私则表明漏洞可能会导致大量的敏感信息泄露。

六、完整性（Integrity）

完整性是指漏洞是否能够破坏系统的完整性。CVSS4.0将完整性分为三种类型：低、中和高。低完整性意味着漏洞不会破坏系统的完整性；中完整性表示漏洞可能会导致一定程度的系统完整性破坏；高完整性则表明漏洞可能会导致严重的系统完整性破坏。

七、系统范围（Scope）

系统范围是指漏洞影响到的系统范围。CVSS4.0将系统范围分为三种类型：低、中和高度。低系统范围意味着漏洞只影响到单个系统或应用程序；中系统范围表示漏洞可能会影响到多个系统或应用程序；高系统范围则表明漏洞可能会影响到整个网络或系统的正常运行。