La forma más fácil de usar CVSS es usar una herramienta de cálculo como la de FIRST : observe que existen 3 componentes, la Base, el Temporal y el Ambiental. Muchas empresas solo usan la Base, por lo menos recomiendo eso para comenzar.
La spec tiene información muy detallada sobre cada componente, pero parafraseando las que le preocupan:
Ámbito: Esto es si el componente permite que el ámbito cambie, es decir, si permite salir de un entorno aislado o un entorno similarmente restringido o cambiar a un esquema de privilegios diferente. Por ejemplo, si un usuario pudiera obtener una clave de api destinada a la comunicación servidor-servidor, sería un cambio de alcance (en mi opinión, al menos, las puntuaciones de CVSS tienen un cierto nivel de subjetividad)
El Componente Vulnerable es la parte del software / sistema que es vulnerable a la explotación. Puede exponer otras partes del sistema, pero esta es la ruta del exploit en.
Un Componente de impacto sería cualquier parte del sistema que esté expuesta / hecha vulnerable por la explotación del Componente Vulnerable.