Glossary
CVSS (Sistema Común de Puntuación de Vulnerabilidades)
Un sistema de puntuación estandarizado que califica la severidad de vulnerabilidades de software en una escala de 0-10, utilizado para priorización.
Definición
CVSS (Sistema Común de Puntuación de Vulnerabilidades) es un método estandarizado para calificar la severidad de vulnerabilidades de software, con puntuaciones que van de 0.0 (más bajo) a 10.0 (más alto).
CVSS se utiliza ampliamente en la gestión de vulnerabilidades para priorizar esfuerzos de parcheado.
Calificaciones CVSS
- 0.0 – Sin vulnerabilidad
- 0.1-3.9 – Bajo
- 4.0-6.9 – Medio
- 7.0-8.9 – Alto
- 9.0-10.0 – Crítico
Cálculo de CVSS
La puntuación CVSS se basa en múltiples factores:
Métricas Base (sin cambios en el tiempo)
- Vector de Ataque – Red, Local, Físico, Adyacente
- Complejidad del Ataque – Bajo, Alto
- Privilegios Requeridos – Ninguno, Bajo, Alto
- Interacción del Usuario – Ninguna, Requerida
- Alcance – Sin cambios, Cambiado
- Confidencialidad – Ninguna, Baja, Alta
- Integridad – Ninguna, Baja, Alta
- Disponibilidad – Ninguna, Baja, Alta
Métricas Temporales (cambian en el tiempo)
- Madurez del Exploit – No probado, Prueba de concepto, Funcional, Alto, Funcional
- Nivel de Remediación – No disponible, Solución alternativa, Corrección temporal, Corrección oficial, No disponible
- Confianza del Informe – Desconocida, Razonable, Confirmada
Métricas Ambientales (específicas de la organización)
- Requisito de Confidencialidad – Bajo, Medio, Alto
- Requisito de Integridad – Bajo, Medio, Alto
- Requisito de Disponibilidad – Bajo, Medio, Alto
Limitaciones de CVSS
CVSS califica severidad técnica pero no considera:
- Si la vulnerabilidad se está explotando realmente
- Impacto comercial del compromiso
- Criticidad del activo
- Interés del actor de amenaza en la vulnerabilidad
Una vulnerabilidad crítica de CVSS 10 en software de nicho puede ser menos urgente que una vulnerabilidad media CVSS 6 en software ampliamente utilizado que se está explotando activamente.