Es un sistema para puntuar la severidad de las vulnerabilidades comunes.
También puede ser utilizado para puntuar la vulnerabilidad de un programa. Por ejemplo: log4j, una biblioteca de logging de Java, tiene una puntuación de 10/10.
Para el cálculo, se utilizan una serie de métricas:
- Vector de acceso
- Complejidad de acceso
- Autenticación
- Confidencialidad
- Integridad
- Disponibilidad
- etc.