Preguntas con etiqueta 'cvss'

5
respuestas

¿La eliminación no autorizada es un problema de integridad o disponibilidad?

Durante una prueba de aplicación web, he descubierto un problema de manipulación de parámetros que permite a un usuario eliminar los comentarios dejados por otros usuarios. No pueden modificar el contenido de los comentarios de otros usuarios, y...
hecha 15.12.2016 - 14:18
1
respuesta

¿Por qué aumenta la puntuación CVSS3 cuando disminuye el impacto de la confidencialidad?

Considere estos dos casos: 1) Impacto en la confidencialidad como alta 2) Impacto en la confidencialidad como baja Tenga en cuenta que todos los demás parámetros no se modifican y los parámetros ambientales se establecen como Alto. Ahora,...
hecha 08.05.2017 - 11:34
5
respuestas

Sistemas de puntuación de vulnerabilidad

Nuestra compañía está desarrollando una aplicación web que se utiliza para el comercio electrónico. Queremos establecer un sistema de calificación más formal para cualquier problema relacionado con la seguridad que eventualmente reportemos nosot...
hecha 03.10.2012 - 09:00
0
respuestas

¿Puede un usuario sin privilegios explotar alguna de las vulnerabilidades de INTEL-SA-00086?

Varias de las vulnerabilidades más recientes de Intel Management Engine son enumeradas como vulnerabilidades locales, permitiendo que la ejecución de código en el sistema aumente sus privilegios al contexto ME. Uno de ellos ( CVE-2017-5708 ) a...
hecha 28.11.2017 - 01:54
1
respuesta

¿Cómo se utilizan las puntuaciones de CVSS en los productos de gestión de riesgos de seguridad?

Desde CVSS v2 guía completa : "Gestión de seguridad (riesgo): las empresas de gestión de riesgo de seguridad utilizan las puntuaciones CVSS como información para calcular el nivel de riesgo o amenaza de una organización. Estas empresas util...
hecha 03.03.2014 - 06:29
1
respuesta

¿Por qué se califica a logjam como "Ninguno" por el impacto de la confidencialidad en CVSS?

La puntuación CVSS para Logjam is (AV: N / AC: M / Au: N / C: N / I: P / A: N) . Comoseseñalóenesabonitaydinámicainterpretacióndelaimagen,lamétricadeimpacto"Confidencialidad" se describe como "Ninguna" ( C: N ). Pero la descripción en...
hecha 30.06.2015 - 21:35
2
respuestas

¿CVSS v3 evalúa el impacto de la vulnerabilidad en el host?

Recientemente, después de ver la vulnerabilidad Heartbleed estaba tomando una mire su puntaje CVSS (AV: N / AC: L / Au: N / C: P / I: N / A: N) y notó lo siguiente (parcial) ) adenda:    La puntuación CVSS V2 evalúa el impacto de la vuln...
hecha 27.01.2016 - 12:09
1
respuesta

¿Por qué CVSSv2 no considera que XSS tenga un impacto de confidencialidad?

De la especificación CVSSv2:    CONSEJO DE PUNTUACIÓN # 2: Al calificar una vulnerabilidad, considere el impacto directo solo en el host de destino. Por ejemplo, considere una vulnerabilidad de secuencias de comandos entre sitios: el impacto...
hecha 09.10.2016 - 22:49
2
respuestas

¿Por qué se puntúa XSS con impacto parcial a la integridad en CVSS V2?

Desde CVSS v2 guía completa :    "CONSEJO DE PUNTUACIÓN # 2: Al calificar una vulnerabilidad, considere la posibilidad de   impacto en el host de destino solamente. Por ejemplo, considere un sitio cruzado   Vulnerabilidad de scripting: el im...
hecha 09.10.2016 - 13:38
1
respuesta

Relación entre CVSS y Nivel de riesgo en los datos de salida de Nessus

En un archivo de salida de Nessus, ¿el Nivel de riesgo (por ejemplo, Crítico, Alto, Medio, Bajo, Ninguno) depende de la puntuación CVSS? ¿Qué relación tienen, si las hay, el nivel de riesgo y el CVSS? Gracias yo     
hecha 01.03.2015 - 18:14