Aclaración con respecto a CVSS

Las puntuaciones son diferentes, ya que esta vulnerabilidad se entiende de manera diferente. En el caso de RedHat, sugieren que la vulnerabilidad se puede utilizar para bloquear la aplicación únicamente. En el caso de NVD, la vulnerabilidad se puede utilizar para ejecutar código arbitrario.

De acuerdo con el aviso del proveedor enlace NVD se equivocó al asumir RCE. La vulnerabilidad no se puede utilizar para ejecutar código arbitrario, solo DoS.

En cuanto a CVSSv2 y v3, no existe un sistema de puntuación maduro. CVSSv3 se introdujo para eliminar "inconsistencias", causadas por la puntuación CVSSv2 y tuvo un éxito parcial. Ambos sistemas de puntuación están lejos de ser perfectos (mi opinión).

CVSS es un sistema de puntuación, es subjetivo y está abierto a la interpretación por parte de la persona que califica la vulnerabilidad. Si observas las dos puntuaciones, verás que una tiene un alto impacto de confidencialidad y otra no.

Sobre cuál usar, no hay una verdadera respuesta correcta aquí, es lo que es correcto para usted. En mi organización utilizamos la versión 3, esta guía de Acunetix puede ayudarlo a tomar una decisión. Guía de versión de Acunetix CVSS

CVSSv3 introduce cambios en el sistema de puntuación que reflejan vulnerabilidades más precisas en aplicaciones web y entornos virtualizados (es decir, escape de invitados)

Si bien los tres grupos de métricas, el puntaje base, el puntaje temporal y el puntaje ambiental siguen siendo los mismos, se agregaron nuevas métricas como el alcance (S) y la interacción del usuario (IU), incluidas métricas antiguas como la autenticación (Au) cambiado a nuevos, como Privileges Required (PR).

El grupo de Métricas Ambientales obtuvo una nueva adición con las Métricas Básicas Modificadas, lo que nos permite personalizar las puntuaciones de CVSS en función del host afectado, por lo que es contextual si es necesario.