Dalla specifica CVSSv2:
SCORING TIP #2: When scoring a vulnerability, consider the direct impact to the target host only. For example, consider a cross-site scripting vulnerability: the impact to a user's system could be much greater than the impact to the target host. However, this is an indirect impact. Cross-site scripting vulnerabilities should be scored with no impact to confidentiality or availability, and partial impact to integrity CVSSv2 spec
Questo è anche il modo in cui ho visto il punteggio XSS in pratica.
Ma anche se consideriamo solo l'impatto sull'host, un utente malintenzionato potrebbe utilizzare un payload JavaScript che legge le informazioni sensibili dall'applicazione Web interessata (se la vittima è attualmente connessa, e se tali informazioni sensibili esistono ).
Quindi, perché la riservatezza non è considerata così bassa? È un impatto indiretto? E se sì, perché (e perché l'impatto sull'integrità non è indiretto allora)? E del resto, perché non c'è un impatto sulla disponibilità? Un utente malintenzionato potrebbe ignorare la protezione CSRF e quindi probabilmente (a seconda dell'applicazione ovviamente) eliminare dati importanti o modificare le impostazioni per rendere l'applicazione non disponibile?
Correlati: Perché XSS ha ottenuto un impatto parziale sull'integrità in CVSS V2? .
So che è stato modificato in CVSSv3 (perché ora il browser viene considerato al posto dell'host).