Preguntas con etiqueta 'cvss'

3
respuestas

Aclaración con respecto a CVSS

Estaremos encantados de recibir 2 aclaraciones con respecto a CVSS: 1) ¿Qué es mejor para las referencias? CVSSv2 o CVSSv3? V3 es nuevo, pero V2 es maduro. 2) ¿Por qué hay diferencias en las puntuaciones CVSS entre el repositorio NVD NIST...
hecha 06.09.2017 - 09:23
1
respuesta

¿Qué significa "alcance" en CVSS v3?

En CVSS v3, el "alcance" indica si una vulnerabilidad en una aplicación afecta a los recursos más allá de sus posibilidades. Puede tener los valores "cambiados" o "sin cambios". No entiendo completamente cuando se cambia el alcance. Por ejemp...
hecha 06.06.2017 - 14:49
2
respuestas

Puntuación de impacto CVSS3.0 y explotabilidad

Tengo algunos problemas para calcular los puntajes de CVSS v3.0 en algunos hallazgos que he encontrado. En particular, un hallazgo es una simple divulgación de información del servidor a través de páginas de error predeterminadas. Es muy simi...
hecha 25.09.2018 - 08:46
1
respuesta

Pruebas de penetración del entorno IaaS / PaaS - Puntuación CVSS

¿Cómo puedo medir la efectividad de una prueba de penetración llevada a cabo en un entorno de nube (IaaS / PaaS) por un proveedor tercero? ¿Debo solicitar un puntaje de CVSS o algo más? Cualquier consejo será muy apreciado.     
hecha 21.05.2018 - 03:04
1
respuesta

¿Cuál es la forma correcta de entender la complejidad de acceso en CVSS?

He leído Access Complexity de NVD ( enlace ), [Access Complexity]    Esta métrica mide la complejidad del ataque requerido para explotar   La vulnerabilidad una vez que un atacante ha obtenido acceso al objetivo.   sistema.       Medio (M...
hecha 23.03.2016 - 17:12
1
respuesta

¿Por qué CVE-2017-5461 se calificó como Crítico con el puntaje CVSS 9.8?

Hace un tiempo encontré este CVE-2017-5461, que tiene una calificación de 9.8 en NVD y Redhat Portal , con una cadena base de CVSS de    CVSS: 3.0 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H para aquellos que no están m...
hecha 08.05.2018 - 07:47
1
respuesta

¿Puede la puntuación CVSS ser diferente de la calculada a partir del vector?

En la mayoría de las bases de datos, hay dos campos: vector CVSS y puntaje CVSS. Es lógico que si calculamos la puntuación de un vector, se supone que es igual al campo de puntuación. Pero, ¿se puede 'sintonizar' manualmente y, por lo tanto, ser...
hecha 18.09.2017 - 19:13
1
respuesta

Relación funcional formal entre riesgo y CVSS

El Common Vulnerability Scoring System (CVSS) permite, entre otras cosas, cuantificar la gravedad de las vulnerabilidades del software. ¿Cuál es la relación funcional entre un CVSS y el riesgo asociado? En otras palabras, ¿cuál sería la for...
hecha 31.07.2015 - 08:56
2
respuestas

¿Existe un CVE o CVSS para la enumeración de puertos?

Digamos que hay una empresa que no tiene un firewall y es posible realizar una enumeración de puertos y servicios. ¿Podría considerarse una vulnerabilidad si proporciona información de huellas digitales? ¿O solo se considera una vulnerabilida...
hecha 28.03.2018 - 10:31
1
respuesta

Fuente de vulnerabilidad pública con CVSS v3

NIST NVD publica fuentes XML de CVE pero, en lo que a mí respecta, solo con vectores CVSS v2. Los resultados de CVSS v3 están disponibles en el portal web. ¿Hay datos actualizados, fáciles de procesar y sin procesar de CVE con métricas base C...
hecha 19.04.2017 - 13:07