En términos generales, las vulnerabilidades se recuperan a medida que se comprenden mejor. Parece que Mitre a menudo puntúa algo en el peor de los casos y luego reduce la puntuación a medida que el problema se estudia un poco más.
En cuanto a esta vulnerabilidad en particular, no está claro al 100%, pero la puntuación se modificó al mismo tiempo que se realizaron otros cambios, uno de los cuales fue agregar aviso del proveedor . El aviso indica que "el código del servidor correspondiente nunca se envió, pero el código del cliente se habilitó de forma predeterminada y un servidor malintencionado podría engañarlo para que filtre la memoria del cliente al servidor, incluidas las claves de usuario privadas". Entonces, para que alguien aproveche esta vulnerabilidad, tendrían que 1) escribir el código de servidor apropiado y 2) obtener un servidor para usar la versión modificada y 3) obtener un cliente para conectarse al servidor comprometido.
Ahora, eche un vistazo a una CVSS v3 calculator , para una complejidad de ataque baja que dice "Acceso especializado no existen condiciones o circunstancias atenuantes. Un atacante puede esperar un éxito repetido contra un componente vulnerable ". Claramente, este no es el caso, ya que el atacante debe tener un servidor comprometido (es decir, una condición de acceso especializada). Ahora mire la descripción de la alta complejidad del ataque, dice en parte que "un ataque exitoso ... requiere que el atacante invierta en una cantidad considerable de esfuerzo en la preparación de la ejecución contra el componente vulnerable antes de que pueda esperarse un ataque exitoso". Basado en el aviso, ese parece ser el caso.
Descargo de responsabilidad: no tuve nada que ver con la calificación de esta vulnerabilidad por parte de Mitre (aunque sí escribo avisos y calificaciones de vulnerabilidad para mi empleador), pero dada la información disponible, este cambio tiene sentido para mí.