Si sigues la especificación y los ejemplos de la primera, ninguno es correcto.
Empecemos con ejemplos:
-
CVE-2015- 1098 , que trata sobre DoS en iWork a través de un archivo especialmente diseñado, se califica como AV: L y UI: R.
-
CVE-2009-0658 , que se trata de un desbordamiento de búfer en Adobe Acrobat a través de un archivo específicamente diseñado, también se califica como AV: L y UI: R.
El motivo en ambos casos es que la vulnerabilidad está en el analizador local y la víctima tiene que abrir el archivo.
Mirando la especificación CVSSv3 , podemos ver por qué:
Red : una vulnerabilidad explotable con acceso a la red significa que el componente vulnerable está vinculado a la pila de la red y la ruta del atacante es a través de la capa 3 de OSI (la capa de red).
Local : una vulnerabilidad explotable con acceso local significa que el componente vulnerable no está vinculado a la pila de la red, y la ruta del atacante es a través de las capacidades de lectura / escritura / ejecución. ella puede confiar en la interacción del usuario para ejecutar un archivo malintencionado.
Ninguno de los ataques funciona en la capa 3 de OSI, por lo que no son "Red", pero dependen de que un usuario ejecute un archivo malicioso, por lo que se requiere la interacción del usuario.
Tenga en cuenta que esto contrasta con CVSSv2, donde los ejemplos de CVSSv3 enumeran los problemas como una red de vectores de acceso (que en realidad no coincide con guía CVSSv2 ). La guía de usuario de CVSSv3 ofrece una explicación para esto:
En CVSS v2.0, el consejo de puntuación 5 decía: "[...]" Esta guía a veces genera confusión en los casos en que un atacante engañaría a un usuario para que descargue un documento mal formado desde un servidor web remoto, explotando un archivo vulnerabilidad de análisis. En tal caso, los analistas que usan CVSS v2.0 tratarán estas vulnerabilidades como "red", [...]
Esta guía se ha mejorado en CVSS v3.0 al aclarar las definiciones de la Red y los valores adyacentes de la métrica del Vector de Ataque. Específicamente, los analistas solo deben calificar para Red o Adyacente cuando una vulnerabilidad está vinculada a la pila de la red. Las vulnerabilidades que requieren la interacción del usuario para descargar o recibir contenido malintencionado (que también podría enviarse localmente, por ejemplo, a través de unidades USB) se deben calificar como locales.
Por ejemplo, una vulnerabilidad de análisis de documentos, que no depende de la red para poder ser explotada, por lo general se debe calificar con el valor Local, independientemente del método utilizado para distribuir dicho documento malicioso (por ejemplo, podría ser un enlace a un sitio web, o mediante una memoria USB) .
Básicamente, la puntuación de la red CVSSv2 resultó de la confusión y no se considera correcta.
Note que los ataques basados en el navegador se ven como completamente diferente a los ataques basados en archivos, ya que la pila de red está involucrada (el enlace contiene una explicación bastante extensa).
Desde una perspectiva técnica, esta puntuación tiene mucho sentido para mí, ya que realmente se ve lo que es el vector de ataque. En la práctica, puede parecer un poco extraño que dos problemas que resulten en el mismo daño y que puedan explotarse en escenarios muy similares reciban puntuaciones tan diferentes.
No lo preguntaste, pero tus calificaciones de la CIA como L me parecen demasiado bajas. Creo que se podría hacer un buen argumento para H, que le daría CVSS: 3.0 / AV: L / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H - > 7.8