Lamentablemente, las calificaciones de CVSS siempre son más individuales que las deseadas . Consulte mi pregunta Escenario CVSS Remoto o Local para ver un ejemplo de tal discusión.
Soy responsable de la clasificación de CVSS en VulDB.com y enfrentamos problemas similares como NVD. En algunos casos, los detalles exactos no se conocen, lo que llevaría a vectores parciales. Y los vectores parciales no se pueden usar para calcular ninguna puntuación. En este caso tratamos de completar los puntajes lo mejor posible. En el caso de Internet Explorer, tendemos a usar C:P/I:P/A:P
porque hoy en día el navegador predeterminado generalmente lo usan usuarios estándar y no administradores.
Pero en algunos otros casos completamos el peor escenario posible. Por ejemplo, si un proveedor afirma que hay un desbordamiento de búfer, pero afirma que solo puede llevar a una denegación de servicio que sería al menos C:N/I:N/A:P
. Si dudamos del impacto, entonces completamos a C:P/I:P/A:P
. Siempre marcamos los vectores + puntuaciones con un nivel de confianza que indica la precisión de la calificación. Algunos vendedores tratan de ajustar sus puntuaciones. Si echa un vistazo a los puntajes de algunos proveedores, verá que intentan evitar algunos umbrales superiores para mantener sus estadísticas en buen estado.
Muchos de nuestros visitantes no están contentos con los diferentes puntajes de diferentes fuentes. Es por esto que agregamos todos los puntajes disponibles (por ejemplo, VulDB, proveedor, investigador, NVD) y los mostramos si es posible. Consulte ID 95550 , por ejemplo. Si hay grandes diferencias en la calificación los explicaremos. Esto hace posible que los usuarios obtengan la puntuación que cubre el caso de uso individual con el que tienen que lidiar.