漏洞被掃描出來后，常見的漏洞修復優先級排序一般以CVSS（即業內公開標準的“通用漏洞評分系統”）為準，CVSS的優先級評分注重內在特征反映漏洞的嚴重性即基礎分數，包括可利用性指標、利用范圍、被利用的影響。

但對于實際利用成熟度（是否在野被利用）、組織環境的影響因素、威脅情報中體現的頻次等等的衡量維度基本缺失，因此當漏洞數量大、且高危漏洞多時，修復優先級就成了一大困擾。

以Log4j2漏洞與Samba漏洞的評分對比為例：Log4j2漏洞評分為10，修復優先級極高，Samba漏洞評分為9.8，僅0.2分之差，在修復優先級上兩者應屬同一梯隊。

但結合漏洞情報信息來看，Log4j2漏洞已被Lazarus,污水等APT組織以及LockBit、Tellyouthepass、Avoslocker,BitLocker、Conti、DiskCryptor、khonsari、7locker和wizardspider等大量的病毒家族頻繁使用，并且被美國的網絡與基礎設施安全局（CISA）披露，并要求其負責的各級政府和部門必須修復該漏洞，而Samba漏洞暫未發現任何情報信息。

當詳細對比兩個漏洞的真實利用可能性及暴露面時，Samba的利用難度也高出Log4j2很多。

綜合來看，Samba漏洞的優先級顯然不應該與Log4j2的漏洞處于同一梯隊。