De la especificación CVSSv2:
CONSEJO DE PUNTUACIÓN # 2: Al calificar una vulnerabilidad, considere el impacto directo solo en el host de destino. Por ejemplo, considere una vulnerabilidad de secuencias de comandos entre sitios: el impacto en el sistema de un usuario podría ser mucho mayor que el impacto en el host de destino. Sin embargo, este es un impacto indirecto. Las vulnerabilidades de las secuencias de comandos entre sitios deben puntuarse sin afectar la confidencialidad o la disponibilidad, y el impacto parcial a la integridad especificación CVSSv2
También es así como he visto que se puntúa XSS en la práctica.
Pero incluso si solo consideramos el impacto en el host, un atacante podría usar una carga útil de JavaScript que lee información confidencial de la aplicación web afectada (si la víctima está actualmente registrada, por supuesto, y si existe dicha información confidencial) ).
Entonces, ¿por qué la confidencialidad no se considera baja? ¿Es este un impacto indirecto? Y si es así, ¿por qué (y por qué el impacto de la integridad no es indirecto entonces)? Y para el caso, ¿por qué no hay un impacto en la disponibilidad? ¿Un atacante no podría pasar por alto la protección CSRF y, por lo tanto, posiblemente (dependiendo de la aplicación, por supuesto), eliminar datos importantes o cambiar la configuración para que la aplicación no esté disponible?
Relacionado: ¿Por qué se califica XSS con impacto parcial a la integridad en CVSS V2? .
Sé que esto ha cambiado en CVSSv3 (porque ahora se considera el navegador en lugar del host).