Recientemente, después de ver la vulnerabilidad Heartbleed estaba tomando una mire su puntaje CVSS (AV: N / AC: L / Au: N / C: P / I: N / A: N) y notó lo siguiente (parcial) ) adenda:
La puntuación CVSS V2 evalúa el impacto de la vulnerabilidad en el host donde se encuentra la vulnerabilidad . Al evaluar el impacto de este vulnerabilidad a su organización, tener en cuenta la naturaleza de Los datos que se están protegiendo y actúan de acuerdo a su la aceptación del riesgo de la organización.
Después de echar un vistazo a CVSS v3 documento de especificación no pude encontrar un fragmento de texto que explicó si el sistema de puntuación evalúa el impacto de manera similar a su predecesor. Si es así, ¿CVSS v3 sigue evaluando una vulnerabilidad en función del impacto que tiene en el host?
La razón por la que pregunto es porque Heartbleed parece estar clasificado mucho más bajo de lo que merece para ser calificado ( relevante ) y se preguntaba si esto volvería a ocurrir en una vulnerabilidad futura utilizando CVSS v3.