El estándar CVSS tiene un componente "temporal" que modela el riesgo cambiante asociado con una vulnerabilidad en el tiempo, como la publicación de un exploit operativo. Pero el NVD de NIST no proporciona ese tipo de información temporal.
¿Conoce alguna ubicación o servicio (gratuito o de pago) que proporcione datos temporales para CVSS?
Solía contratar iDefense y luego para iSIGHT Partners, en ambos lugares utilizamos la puntuación CVSSv2 completa, incluidos los datos temporales y los informes se actualizaron a medida que salía el código de vulnerabilidad / etc. (De hecho, esta fue una de las principales prioridades para nosotros). iDefense fue adquirida por Verisign, solo puedo asumir que todavía hacen este tipo de trabajo (han pasado más de 4 años desde que estuve allí) y iSIGHT definitivamente lo sigue haciendo (salvo algún cambio importante en sus productos / etc.) enlace y enlace . Asumo que los otros servicios de vulnerabilidad importantes como Secunia, etc., hacen lo mismo, pero nunca he usado sus productos ni los he contratado, por lo que no puedo decir. Sé que rastrear correctamente todos los datos es mucho trabajo, por lo que la mayoría de las personas no lo hacen =).
Lea otras preguntas en las etiquetas cvss