Ho qualche problema nel calcolare i punteggi CVSS v3.0 in alcuni risultati che ho riscontrato.
In particolare, una scoperta è una semplice divulgazione di informazioni sul server tramite pagine di errore predefinite. È molto simile al seguente: link
Utilizzando la calcolatrice CVSS v3.0, sono arrivato allo stesso vettore CVSS (AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N) e punteggio (5.3, Media).
Intuitivamente, questo risultato non dovrebbe essere un mezzo in quanto gli aggressori non possono davvero fare molto attraverso la divulgazione di banner. Penserei che dovrebbe essere un basso o addirittura informativo. La calcolatrice IMHO, CVSS v3.0 non fornisce una granularità sufficiente nei componenti di impatto C / I / A per tenere adeguatamente conto di ciò.
Tuttavia, ho notato nel link sopra che c'è anche un "punteggio di impatto" e un "punteggio di sfruttabilità", che sono adeguatamente bassi in entrambi i casi. Non si fa tuttavia menzione di come questi sono derivati, non nel collegamento, o il calcolatore CVSS su first.org. Anche una rapida ricerca su Google non produce nulla.
Posso sapere come vengono calcolati e possono essere utilizzati per modificare le valutazioni del rischio?