In generale, le vulnerabilità vengono recuperate man mano che diventano più comprensibili. Sembra che Mitre voti spesso qualcosa nel peggiore dei casi e poi abbassa il punteggio in quanto il problema è studiato ancora.
Per quanto riguarda questa particolare vulnerabilità, non è chiara al 100%, ma il punteggio è stato modificato nello stesso momento in cui hanno apportato diverse altre modifiche, una delle quali era l'aggiunta del advisor del fornitore . Tale avviso afferma "Il codice server corrispondente non è mai stato spedito, ma il codice client è stato abilitato per impostazione predefinita e potrebbe essere ingannato da un server malintenzionato in perdita di memoria del client al server, comprese le chiavi utente del client privato." Quindi, affinché qualcuno possa approfittare di questa vulnerabilità, dovrebbero 1) scrivere il codice server appropriato e 2) ottenere un server per utilizzare la versione modificata e 3) ottenere un client per connettersi al server compromesso.
Ora, dai un'occhiata a un calcolatore CVSS v3 , per una complessità di attacco basso dice "Accesso specializzato condizioni o circostanze attenuanti non esistono.Un aggressore può aspettarsi un successo ripetuto contro un componente vulnerabile. " Questo chiaramente non è il caso in quanto l'attaccante deve avere un server compromesso (cioè una condizione di accesso specializzata). Ora osservate la descrizione per la complessità di un attacco alto, dice in parte "un attacco riuscito ... richiede che l'attaccante investa in una quantità misurabile di sforzo nella preparazione dell'esecuzione contro la componente vulnerabile prima che si possa prevedere un attacco riuscito." Sulla base della consulenza, questo sembra essere il caso.
Dichiarazione di non responsabilità: non ho avuto nulla a che fare con il punteggio di questa vulnerabilità di Mitre (anche se scrivo consigli e punteggio per il mio datore di lavoro), ma date le informazioni disponibili, questo cambiamento ha senso per me.