In realtà direi che suona solo moderatamente severo , perché il danno diretto che si può fare è piuttosto secondario. Un utente malintenzionato può violare un livello di riservatezza (divulgazione di informazioni), può arrecare disturbo alle persone, può ingannare potenzialmente le persone e può sicuramente danneggiare la reputazione dell'azienda, ma non può causare direttamente molti danni (ad esempio costringere le persone a comprare cose, accedere a informazioni utili per furto d'identità, subentrare in account utente o ottenere accesso non autorizzato al server).
Lo chiamerei piuttosto una priorità piuttosto elevata. I riferimenti diretti agli oggetti sono relativamente facili da scoprire e di solito anche facili da sfruttare (di solito è solo un intero che puoi scorrere) e l'exploit può essere facilmente ridimensionato per interessare un gran numero di persone (tendono ad essere molto automazione e non richiede alcuna interazione da parte di qualcun altro). La facilità di scoperta e lo sfruttamento di solito aumentano la priorità, anche quando la gravità è mediocre.