I punteggi sono diversi, a differenza di questa vulnerabilità. In caso di RedHat, suggeriscono che la vulnerabilità può essere utilizzata solo per bloccare l'applicazione. In caso di NVD, la vulnerabilità può essere utilizzata per eseguire codice arbitrario.
In base al advisory del fornitore link NVD ha sbagliato ad assumere RCE. La vulnerabilità non può essere utilizzata per eseguire codice arbitrario, solo DoS.
Come per CVSSv2 e v3 - non esiste un sistema di punteggio maturo. CVSSv3 è stato introdotto per eliminare "incongruenze", causate dal punteggio CVSSv2 e ha avuto un parziale successo. Entrambi i sistemi di punteggio sono tutt'altro che perfetti (la mia opinione).
CVSS è un sistema di punteggio, è soggettivo ed è aperto all'interpretazione da parte della persona che ha segnato la vulnerabilità, se guardi i due punteggi vedrai che uno valuta un alto impatto sulla riservatezza e uno non ne valuta nessuno.
Su quale usare, non c'è una vera risposta giusta qui, è ciò che è giusto per te. Nella mia organizzazione utilizziamo la versione 3, questa guida di Acunetix potrebbe aiutarti a prendere una decisione. Guida alla versione CVSS di Acunetix
CVSSv3 introduce modifiche nel sistema di punteggio che riflettono in modo più accurato le vulnerabilità sulle applicazioni Web e sugli ambienti virtualizzati (i.e guest escape)
Mentre tutti e tre i gruppi metrici, il punteggio base, il punteggio temporale e il punteggio ambientale sono rimasti invariati, sono state aggiunte nuove metriche come Scope (S) e User Interaction (UI), incluse vecchie metriche come Authentication (Au) cambiato in quelli più recenti come Privileges Required (PR).
Il gruppo Environmental Metrics ha ottenuto una nuova aggiunta con le metriche di base modificate, consentendoci di personalizzare i punteggi CVSS in base all'host che è stato interessato, rendendolo contestuale se richiesto.
Leggi altre domande sui tag cvss