Durante una evaluación de seguridad, encontré que una aplicación escribía JavaScript desde los campos de entrada directamente en la base de datos. La aplicación en sí tenía un buen desinfección de salida, por lo que no era posible un XSS en esa aplicación. Una aplicación diferente que usaba los mismos datos no tenía un buen desinfección de resultados y tenía una vulnerabilidad XSS, que se ha corregido desde entonces.
Por lo tanto, ahora tengo un hallazgo de que los datos de entrada no se validan correctamente, lo que podría plantear problemas para las aplicaciones que no desinfectan bien la salida pero no en la aplicación actual. ¿Qué puntaje de CVSS pondría en eso? No puedo convertirlo en una alta vulnerabilidad porque es imposible de explotar ahora. Pero en el futuro podría plantear problemas y quiero que se solucione en el contexto de la "defensa en profundidad"
Pregunta: ¿Cuál sería la puntuación CVSS para una vulnerabilidad de validación de entrada no explotable?