Sugeriría que tratar de aplicar valores numéricos a construcciones abstractas como "riesgo", "impacto" y "probabilidad" probablemente no sea una gran idea.
El problema es que cada uno de estos términos tiende a ser tanto subjetivo (lo que es probable que una persona no lo sea como lo es para otra) y extremadamente situacional (el impacto de XSS en un sitio probablemente será diferente de otro), de manera realista hay un uso muy limitado para hacerlo (aparte de apaciguar a la administración que insiste en la cuantificación y clasificación de las cosas)
Puede ver muchos ejemplos de este tipo de problemas en los que las personas intentan cuantificar las vulnerabilidades. Un buen ejemplo con CVSS es el siguiente.
Tener un puerto telnet abierto (un servicio totalmente sin cifrar) es CVSS 4 según Rapid7 o tal vez 5.8 si escuchas Tenable , obviamente tan subjetivo como lo mismo problema. Luego, para mayor diversión, puede compararse con tener un certificado autofirmado, que aunque no siempre es ideal, es mejor que no tener ningún cifrado, pero Tenable califica esto como CVSS 6.4 , ¡por lo tanto, mayor severidad que ninguna encriptación! (Rapid7 tiene este como 4 )
Dado que las personas ni siquiera pueden ponerse de acuerdo sobre calificaciones consistentes para resultados idénticos, recomendaría no intentar clasificar cosas como XSS que tienen una variedad mucho mayor.