El Sistema Común para Puntuación de Vulnerabilidades (CVSS) captura las principales características técnicas sobre las vulnerabilidades de software, hardware y firmware. Sus resultados incluyen puntuaciones numéricas indicando la severidad de una vulnerabilidad en relación con otras vulnerabilidades.

CVSS se compone de tres grupos de métricas: Base, Temporal y Ambiental. La puntuación base refleja la gravedad de una vulnerabilidad acorde a sus características intrínsecas, las cuales son constantes a lo largo del tiempo, además suponen el peor caso de impacto razonable en diferentes entornos desplegados. Las métricas temporales ajustan la gravedad base de una vulnerabilidad a través de factores cambiantes con el tiempo, como la disponibilidad de código para explotación. Las métricas ambientales ajustan la severidad base y temporal hacia un entorno de cómputo específico. Estos consideran factores como la presencia de mitigaciones en el entorno.

Las puntuaciones Base son usualmente elaboradas por la organización manteniendo el producto vulnerable, o por un tercero quien realiza la puntuación en su nombre. Es habitual sólo se publiquen las métricas de Base, pues éstas no cambian con el tiempo y son comunes hacia todos los entornos. Los consumidores de CVSS deben complementar la puntuación Base con puntuaciones Temporales y Ambientales específicas hacia su uso del producto vulnerable, para obtener una severidad más precisa para su entorno organizacional. Los consumidores pueden utilizar la información del CVSS como una entrada hacia un proceso para la gestión de vulnerabilidades en la organización, el cual también considere factores no formando parte del CVSS, con el propósito de clasificar las amenazas hacia su infraestructura tecnológica, y tomar decisiones fundamentadas para remediar. Tales factores pueden incluir: número de clientes en una línea de productos, pérdidas monetarias debidas a una breca, vidas o propiedades amenazadas, o sentimiento público sobre vulnerabilidades altamente publicitadas. Estos factores quedan fuera del ámbito del CVSS.

Los beneficios del CVSS incluyen la provisión de una metodología estandarizada para la puntuación de vulnerabilidades, independiente del proveedor y de la plataforma. Se trata de un marco de trabajo abierto, el cual proporciona transparencia a las características individuales y a la metodología utilizada para obtener una puntuación.

Fuente:

https://www.first.org/cvss/v3.1/specification-document