Tengo algunos problemas para calcular los puntajes de CVSS v3.0 en algunos hallazgos que he encontrado.
En particular, un hallazgo es una simple divulgación de información del servidor a través de páginas de error predeterminadas. Es muy similar a lo siguiente: enlace
Con la calculadora CVSS v3.0, también he llegado al mismo vector CVSS (AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N) y puntuación (5.3, medio).
Intuitivamente, este hallazgo no debería ser un Medio, ya que los atacantes realmente no pueden hacer mucho a través de la divulgación de un banner. Yo pensaría que debería ser bajo o incluso informativo. En mi humilde opinión, la calculadora CVSS v3.0 no proporciona suficiente granularidad en los componentes de impacto de C / I / A para dar cuenta de esto de manera adecuada.
Sin embargo, observo en el enlace anterior que también hay un "puntaje de impacto" y un "puntaje de explotabilidad", que son apropiadamente bajos en ambos casos. No se menciona, sin embargo, cómo se derivan, no en el enlace, o la calculadora CVSS en first.org. Una búsqueda rápida en Google tampoco da nada.
¿Puedo saber cómo se calculan, y se pueden usar para modificar las calificaciones de riesgo?