Recentemente dopo aver controllato la vulnerabilità Heartbleed stavo prendendo un guarda il suo punteggio CVSS (AV: N / AC: L / Au: N / C: P / I: N / A: N) e notato quanto segue (parziale ) addendum:
CVSS V2 scoring evaluates the impact of the vulnerability on the host where the vulnerability is located. When evaluating the impact of this vulnerability to your organization, take into account the nature of the data that is being protected and act according to your organization’s risk acceptance.
Dopo aver dato un'occhiata al documento di specifica CVSS v3 non sono riuscito a trovare una parte di testo che ha spiegato se il sistema di punteggio valuta l'impatto in modo simile al suo predecessore. In tal caso, CVSS v3 valuta ancora una vulnerabilità in base all'impatto che ha sull'host?
Il motivo per cui lo chiedo è perché Heartbleed sembra essere valutato in modo molto più basso di quello che merita per essere valutato ( relevant ) e si chiedeva se ciò si ripresentasse in una vulnerabilità futura utilizzando CVSS v3.