MIoTSRC漏洞等级评级标准

严重安全问题

1、直接获取核心系统权限。可直接危害内网的漏洞包括但不限于：命令执行、远程溢出等漏洞；

2、能够获取大量用户核心数据的漏洞；

3、直接导致严重影响的逻辑漏洞。涉及相关漏洞包括但不限于：严重的逻辑错误、能够大量获取利益造成公司、用户损失的漏洞。

高危安全问题

1、直接获取业务服务器权限的漏洞。包括但不限于任意命令执行、上传 webshell、任意代码执行；

2、直接导致严重的信息泄漏漏洞。包括但不限于核心 DB 的 SQL 注入漏洞；

3、直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞；

4、能直接批量盗取用户身份信息的漏洞。包括但不限于 SQL 注入；

5、越权访问。包括但不限于绕过认证访问后台。

中危安全问题

1、需交互才能获取用户身份信息的漏洞。包括但不限于存储型 XSS 漏洞；

2、任意文操作漏洞。包括但不限于任意文件读、写、删除、下载等操作；

3、越权访问。包括但不限于绕过限制修改用户资料、执行用户操作；

4、比较严重的信息泄漏漏洞。包含敏感信息文件泄露（如 DB 连接密码）。

低危安全问题

能够造成一定影响但无法直接获取设备权限和影响数据安全的漏洞，如:非重要信息泄露、URL 跳转、较难利用的 XSS 安全漏洞、普通的 CSRF 漏洞等。

备注：

以上三个级别问题不包括

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。