CVSS-Score – Schweregrad von Sicherheitslücken verstehen

Der CVSS-Score bewertet Sicherheitslücken auf einer Skala von 0 bis 10. Ein Wert von 9.8 – wie bei der HT-Contact-Form-Lücke 2025 – bedeutet: sofort handeln.

Was ist der CVSS-Score?

Der CVSS-Score (Common Vulnerability Scoring System) ist ein offener, standardisierter Rahmen zur Bewertung des Schweregrads von Sicherheitslücken. Er wurde von der Non-Profit-Organisation FIRST (Forum of Incident Response and Security Teams) entwickelt und wird heute weltweit in Sicherheitsberichten, Vulnerability-Datenbanken und Patch-Managementsystemen verwendet.

Der Score wird als Zahl zwischen 0.0 und 10.0 angegeben. Je höher der Wert, desto kritischer die Schwachstelle.

ScoreEinstufung
0.0Keine
0.1 – 3.9Niedrig
4.0 – 6.9Mittel
7.0 – 8.9Hoch
9.0 – 10.0Kritisch

Wie wird der CVSS-Score berechnet?

Der Score setzt sich aus mehreren Einzelfaktoren zusammen, die in drei Gruppen unterteilt sind:

Base Score (Basis-Bewertung): Bewertet die grundlegenden Eigenschaften der Schwachstelle – unabhängig von spezifischen Umgebungen.

  • Angriffsvektor: Wie erreicht ein Angreifer die Schwachstelle? Über das Netzwerk, lokal oder physisch?
  • Angriffskomplexität: Wie schwer ist die Ausnutzung technisch?
  • Erforderliche Rechte: Benötigt der Angreifer bereits einen Account?
  • Benutzerinteraktion: Muss ein Nutzer aktiv mitwirken?
  • Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit: Welchen Schaden richtet die Schwachstelle an?

Temporal Score: Berücksichtigt, ob es bereits einen Patch oder einen bekannten Exploit gibt.

Environmental Score: Passt die Bewertung an die spezifische Umgebung einer Organisation an.

Praxisbeispiel: CVSS 9.8 bei HT Contact Form

Im Juli 2025 erhielt die Schwachstelle CVE-2025-7340 im WordPress-Plugin „HT Contact Form" einen CVSS Base Score von 9.8 – maximale Kritikalität. Die Gründe dafür: Der Angriff war über das Netzwerk möglich, erforderte keine Authentifizierung, keine Benutzerinteraktion und führte zur vollständigen Kompromittierung des Servers.

Solche Werte bedeuten in der Praxis: sofort handeln. Nicht nach dem nächsten regulären Update-Zyklus. Sofort.

Mehr Kontext im Beitrag WordPress Sicherheitslücken: Der vollständige Leitfaden.

CVSS und CVE: Zusammenspiel

Jede CVE – also jede offiziell registrierte Sicherheitslücke – erhält in der NVD (National Vulnerability Database) auch einen CVSS-Score. Dieser Score wird zum wichtigsten Orientierungspunkt, um zu entscheiden, wie schnell und mit welcher Priorität eine Schwachstelle behoben werden muss.

Grenzen des CVSS-Scores

Der Score beschreibt eine Schwachstelle isoliert – ohne Kontext. Eine CVSS-9.8-Lücke in einem Plugin, das auf Ihrer Website gar nicht installiert ist, ist für Sie nicht relevant. Umgekehrt kann eine CVSS-6.5-Lücke in einem Plugin, über das Ihre gesamte Kundendatenbank läuft, für Ihre spezifische Situation kritischer sein als der Score vermuten lässt.

CVSS ist ein Werkzeug zur Priorisierung – kein Ersatz für Urteilsvermögen.

Fazit

Der CVSS-Score liefert eine schnell lesbare Einschätzung, wie gefährlich eine Sicherheitslücke ist. Wer WordPress-Websites betreibt und Schwachstellenmeldungen zu installierten Plugins beobachtet, sollte bei Werten ab 7.0 umgehend reagieren – und bei 9.0+ sofort.

jetzt online