En CVSS versión 3, hay cuatro vectores de ataque diferentes. No soy capaz de diferenciar entre lo local y lo físico.
Diga, si quiero informar "ausencia de botón de cierre de sesión" usaré el físico como vector de acceso. ¿En qué casos puedo usar local como vector de acceso? Intente hacer referencia a las vulnerabilidades basadas en aplicaciones web.
Un problema de "ausencia de botón de cierre de sesión" no es absolutamente un vector físico. Físico significa que tienes acceso físico directo al servidor, ya que estás parado justo frente a él. Una más apropiada para "física" sería la falta de cifrado completo del disco, ya que el acceso físico en el contexto del robo del servidor daría lugar a que un atacante se apodere de los datos del disco.
Local significa que tiene una sesión de inicio de sesión en el sistema. Un ejemplo de un problema de este tipo podría ser un binario de servicio con permisos de archivo deficientes, lo que permite una escalada de privilegios locales.
Adyacente significa que estás en el mismo segmento de red que el servidor, que es aplicable para ataques como la falsificación ARP, donde debes estar en la misma subred.
Remoto, como sugiere su nombre, es cualquier caso en el que estés en una red remota.
Debe tener en cuenta que los vectores CVSS en su mayoría no están diseñados para aplicaciones web; la mayoría, si no todos, sus problemas deberían marcarse como vector remoto.
Lea otras preguntas en las etiquetas physical vulnerability attack-vector cvss