La amenaza poseída por una vulnerabilidad puede cambiar con el tiempo. Tres de tales factores capturados por el CVSS son: confirmación sobre los detalles técnicos de la vulnerabilidad, el estado de remediación de la vulnerabilidad, y la disponibilidad del código del exploit u otras técnicas. Dado lo opcional de las métricas temporales, pueden incluir un valor de métrica la cual no tiene efecto sobre la puntuación. Este valor es utilizado cuando el usuario percibe la no aplicación de una métrica y desea “saltar” sobre esta.

Explotabilidad

Esta métrica mide el estado actual de las técnicas del exploit y disponibilidad del código. La disponibilidad pública de un código de exploit fácil de utilizar incrementa el número de atacantes potenciales incluyendo aquellos quienes no tienen experiencia, de este modo se incrementa la severidad de la vulnerabilidad.

Inicialmente la explotación en el mundo real puede ser solo teórico. Puede seguir la publicación de pruebas de concepto, código de exploit funcional, o suficientes detalles técnicos necesarios para explotar la vulnerabilidad. Sin embargo, el código del exploit disponible puede progresar desde una demostración de una prueba de concepto hasta un código de exploit el cual es satisfactorio en explotar la vulnerabilidad consistentemente. En varios casos, puede ser entregado como una carga útil de un gusano o virus basado en red. Los valores posibles para esta métrica se listan a continuación. Mientras más fácil puede ser explotada una vulnerabilidad, mayor la puntuación de la vulnerabilidad.

Valor de la Métrica | Descripción

• Prueba Sin Probar (U) | No está disponible un código de exploit, o un exploit es enteramente teórico.
• Prueba de Concepto (POC) | Esta disponible el código de exploit de prueba de concepto o una demostración del ataque el cual no es práctico para la mayoría de sistemas. El código o técnica no es funcional en todas las situaciones y puede requerir modificaciones substanciales por un atacante experimentado.
• Funcional (F) | Esta disponible un código de exploit funcional. Este código trabaja en la mayoría de situaciones donde existe la vulnerabilidad.
• Alto (H) | Ya sea la vulnerabilidad es explotable por código funcional autónomo móvil, o no se requiere un exploit (activación manual) y los detalles están ampliamente disponibles. El código funciona en toda situación, o está siendo activamente entregado mediante agentes móviles autónomos (como un gusano o virus).
• No definido (ND) | Asignar este valor a una métrica podría no influenciar la puntuación. Esta es una señal para saltar este métrica en la ecuación.

Nivel de Remediación (RL)

El nivel de remediación de una vulnerabilidad es un factor importante para la prioridad. Una vulnerabilidad típicamente está sin parchar cuando es inicialmente publicada. Arreglos o soluciones pueden ofrecer remediación provisional hasta la entrega del parche oficial o actualización. Cada una de estas respectivas fases se ajusta a puntuaciones temporales hacia abajo, reflejando la decreciente urgencia de una solución definitiva. Los valores posibles para esta métrica se listan a continuación. Mientras menos oficial y permanente sea la solución, es mayor la puntuación de la vulnerabilidad.

Valor de la Métrica | Descripción

• Arreglo Oficial (OF) | Esta disponible una solución completa del proveedor. Ya sea el proveedor ha entregado un parche oficial, o está disponible una actualización.
• Arreglo Temporal (TF) | Esta disponible un arreglo oficial pero temporal. Esto incluye una instancia donde el proveedor entrega una revisión, herramienta o solución temporal.
• Solución (W) | Esta disponible una solución no oficial no del proveedor. En algunos casos, los usuarios de la tecnología afectada pueden crear un parche por ellos mismos, o proporcionar los pasos para solucionar o de otra manera mitigar la vulnerabilidad.
• No Disponible (U) | No está disponible una solución o es imposible aplicarla.
• No Definida (ND) | Asignar este valor a una métrica no incluye en la puntuación. Esta es una señal para saltar esta métrica en la ecuación.

Confianza de Reporte (RC)

Esta métrica mide el grado de confidencia en la existencia de la vulnerabilidad y la credibilidad de los detalles técnicos conocidos. Algunas veces, solo se publicita la existencia de la vulnerabilidad, pero sin especificar los detalles. La vulnerabilidad puede ser luego corroborada y confirmada a través de un reconocimiento por el autor o proveedor de la tecnología afectada. La urgencia de una vulnerabilidad es mayor cuando se conoce la existencia con certeza de una vulnerabilidad. Esta métrica también sugiere el nivel de conocimiento técnico disponible a los posibles atacantes. Los valores posibles para esta métrica se listan a continuación. Mientras más validada sea una vulnerabilidad por el proveedor u otra fuente de reputación, mayor la puntuación.

Valor de la Métrica | Descripción

• Sin Confirmar (UC) | Existe una única fuente sin confirmar o posiblemente reportes diversos en conflicto. Existe poca confidencia en la validez de los reportes. Un ejemplo es un rumor generado desde el mundo subterraneo del hacking.
• Sin Corroborar (UR) | Existen diversas fuentes no oficiales, incluyendo posiblemente compañías de seguridad independientes o organizaciones de investigación. En este punto pueden estar en conflicto detalles técnicos o alguna ambiguedad persistente.
• Confirmado (C) | La vulnerabilidad ha sido reconocida por el proveedor o autor de la tecnología afectada. Esta vulnerabilidad también puede ser Confirmada cuando su existencia en confirmada desde un evento externo como la publicación de un exploit funcional de prueba de concepto o una explotación extendida.
• No Definida (ND) | Asignar este valor a una métrica no incluye en la puntuación. Esta es una señal para saltar esta métrica en la ecuación.

Fuentes:

http://www.first.org/cvss/cvss-guide
http://www.reydes.com/d/?q=Introduccion_a_CVSS_Common_Vulnerability_Scor...
http://www.reydes.com/d/?q=Metrica_Base_de_CVSS_Common_Vulnerability_Sco...