Ámbito en CVSSv3
El alcance se define en la documentación :
Cuando la vulnerabilidad de un componente de software regido por un ámbito de autorización puede afectar a los recursos gobernados por otro ámbito de autorización, se ha producido un cambio de Ámbito.
Ejemplos
1) Inyección SQL: modificado.
Componente vulnerable: servidor web / servidor de base de datos
Componente impactado: aplicación web. Puede hacer que la aplicación web no esté disponible.
No estaría de acuerdo con su razonamiento, pero estaría de acuerdo en que se cambia el alcance.
El componente vulnerable es la aplicación web: la vulnerabilidad no fue introducida por el servidor ni por el DBMS, pero el problema existe porque la aplicación web insertó la entrada del usuario en una consulta SQL.
El componente afectado es la base de datos, ya que gobierna los datos que contiene, y un ataque puede extraer información que no debería estar disponible. Si se pueden ejecutar comandos del sistema o si se pueden cargar archivos, el servidor también se vería afectado.
Otras opiniones:
-
CVE-2015-8604 está calificado como alcance sin cambios.
-
High-Tech Bridge clasifica las inyecciones de SQL como alcance modificado en una publicación de blog sobre CVSSv3.
-
High-Tech Bridge clasifica las inyecciones de SQL como un alcance sin cambios en su calculadora CVSSv3.
Se puede ver que hay al menos cierta falta de claridad sobre la calificación del alcance de las inyecciones de SQL. No he encontrado ningún otro ejemplo que determine el alcance de una inyección SQL.
2) XSS: Cambiado
Componente vulnerable: servidor web
Componente impactado: navegador
Tiene sentido, y así es como First lo califica en su ejemplo de XSS .
3) Redirecciones no validadas: modificadas.
Componente vulnerable: servidor web
Componente afectado: navegador (se puede descargar malware)
Esto también tiene sentido, por la misma razón que XSS.
4) CSRF: Sin cambios
Esto también tiene sentido, y es también el modo en que First lo califica en su CSRF example . El componente vulnerable y el componente afectado son la aplicación web.
5) Fijación de sesión: Sin cambios
Esto también tiene sentido, por la misma razón que CSRF.
6) Referencia de objeto directo inseguro: Sin cambios
Esto también tiene sentido, por la misma razón que CSRF.
7) Carga de archivos sin restricciones: Modificado
Componente Vulnerable: servidor web
Componente impactado: podría ser el sistema operativo host
Esto tiene sentido.