|
Viene generato un punteggio numerico per ciascuno di questi gruppi di metriche. Una stringa vettoriale (o semplicemente "vettore" in CVSSv2), rappresenta i valori di tutte le metriche come un blocco di testo.
== VersioneCriticità della versione 2 ==
La documentazione completa per CVSSv2 è disponibile da FIRST. <ref name="cvssv2_specs">{{Cita web|url=https://www.first.org/cvss/v2/guide|titolo=A Complete Guide to the Common Vulnerability Scoring System (v2.0)}}</ref> Di seguito viene fornita una sintesi.
=== Metriche di base ===
==== Accesso al vettore ====
Il vettore di accesso (AV) mostra come può essere sfruttata una vulnerabilità.
{| class="wikitable"
!Valore
! Descrizione
! Punto
|-
| Locale (L - Local)
| L'attaccante deve avere accesso fisico al sistema vulnerabile (es. [[IEEE 1394|attacchi firewire]] ) o un account locale (es. un attacco di [[privilege escalation]]).
| 0,395
|-
| Rete adiacente (A - Adjacent Network)
| L'attaccante deve avere accesso al dominio broadcast o al collision ___domain del sistema vulnerabile (es. [[ARP poisoning|ARP spoofing]], attacchi Bluetooth).
| 0,646
|-
| Rete (N - Network)
| L'interfaccia vulnerabile funziona al livello 3 o superiore dello stack di rete OSI. Questi tipi di vulnerabilità sono spesso descritti come sfruttabili da remoto (es. un buffer overflow remoto in un servizio di rete)
| 1.0
|}
==== Complessità di accesso ====
La metrica della complessità di accesso (AC) descrive quanto sia facile o difficile sfruttare la vulnerabilità scoperta.
{| class="wikitable"
!Valore
! Descrizione
! Punto
|-
| Alto (H)
| Esistono condizioni specializzate, come una [[Race condition|condizione di gara]] con una finestra stretta o un requisito per [[Ingegneria sociale|metodi di ingegneria sociale]] che sarebbero prontamente notati da persone esperte.
| 0,35
|-
| Medio (M)
| Esistono alcuni requisiti aggiuntivi per l'attacco, come un limite sull'origine dell'attacco o un requisito per l'esecuzione del sistema vulnerabile con una configurazione non comune e non predefinita.
| 0,61
|-
| Basso (L)
| Non ci sono condizioni speciali per sfruttare la vulnerabilità, come quando il sistema è disponibile per un gran numero di utenti o la configurazione vulnerabile è onnipresente.
| 0,71
|}
==== Autenticazione ====
La metrica di autenticazione (Au) descrive il numero di volte in cui un utente malintenzionato deve autenticarsi su un bersaglio per sfruttarlo. Non include (ad esempio) l'autenticazione a una rete per ottenere l'accesso. Per le vulnerabilità sfruttabili localmente, questo valore deve essere impostato su Singolo o Multiplo se è necessaria un'ulteriore autenticazione dopo l'accesso iniziale.
{| class="wikitable"
!Valore
! Descrizione
! Punto
|-
| Multiplo (M)
| Lo sfruttamento della vulnerabilità richiede che l'attaccante si autentichi due o più volte, anche se ogni volta vengono utilizzate le stesse credenziali.
| 0.45
|-
| Singolo (S)
| L'attaccante deve autenticarsi una volta per sfruttare la vulnerabilità.
| 0,56
|-
| Nessuno (N)
| Non è necessario che l'attaccante si autentichi.
| 0.704
|}
=== Criticità della versione 2 ===
Diversi fornitori e organizzazioni hanno espresso insoddisfazione per CVSSv2.
Gli aggiornamenti alla specifica CVSS versione 3.1 includono il chiarimento delle definizioni e la spiegazione delle metriche di base esistenti come il vettore di attacco, i privilegi richiesti, l'ambito e i requisiti di sicurezza. È stato inoltre definito un nuovo metodo standard di estensione del CVSS, chiamato CVSS Extensions Framework, che consente a un fornitore di punteggio di includere metriche e gruppi di metriche aggiuntivi mantenendo le metriche di base, temporali e ambientali ufficiali. Le metriche aggiuntive consentono a settori industriali come la privacy, la sicurezza, l'automotive, l'assistenza sanitaria, ecc., di valutare i fattori che sono al di fuori dello standard CVSS di base. Infine, il Glossario dei termini CVSS è stato ampliato e perfezionato per coprire tutti i termini utilizzati nella documentazione CVSS versione 3.1.
== Adozione ==
Le versioni di CVSS sono state adottate come metodo principale per quantificare la gravità delle vulnerabilità da un'ampia gamma di organizzazioni e aziende, tra cui:
*
*
== Note ==
| 