Durante un test di sicurezza ho scoperto che un'applicazione ha scritto JavaScript dai campi di input direttamente nel database. L'applicazione in sé aveva una buona sanitizzazione dell'output, quindi nessun XSS era possibile in quella applicazione. Un'applicazione diversa che utilizzava gli stessi dati non aveva una buona sanitizzazione dell'output e aveva una vulnerabilità XSS, che è stata riparata da allora.
Quindi, wat I have now è una constatazione che i dati di input non sono validati correttamente, il che potrebbe porre problemi per le applicazioni che non disinfettano bene l'output ma non nell'applicazione corrente. Quale punteggio CVSS avrei messo su questo? Non riesco a renderlo vulnerabile perché è impossibile sfruttarlo ora. Ma in futuro potrebbe porre problemi e io lo voglio fissato nel contesto di "difesa in profondità"
Domanda: quale sarebbe il punteggio CVSS per una vulnerabilità di validazione dell'input non sfruttabile?