Il modo più semplice per utilizzare CVSS è utilizzare uno strumento di calcolo come FIRST - notate che ci sono 3 componenti, Base, Temporale e Ambiente. Molte aziende usano solo la Base - lo consiglio per iniziare almeno.
La specifica ha informazioni molto dettagliate su ciascun componente, ma per parafrasare per quelli che ti preoccupano:
Ambito: questo è se il componente consente di modificare l'ambito, ovvero se consente di uscire da una sandbox o un ambiente con restrizioni simili o di passare a uno schema di privilegi diverso. Ad esempio, se un utente fosse in grado di ottenere una chiave API che è destinata alla comunicazione server-server, sarebbe un cambiamento di ambito (a mio parere, almeno - i punteggi CVSS hanno un certo livello di soggettività nei loro confronti)
Il componente vulnerabile è la parte del software / sistema che è vulnerabile all'exploit. Può esporre altri pezzi del sistema, ma questo è il percorso dello sfruttamento in.
Un Componente di Impatto sarebbe qualsiasi pezzo del sistema che è esposto / reso vulnerabile dall'uso del Componente Vulnerabile.