La primera versión del CVSS se lanzó en 2004 seguida de la versión 2 en 2007. En 2012 se inicia el proceso de actualización a la versión 3, en respuesta a observaciones realizadas por distintas organizaciones que mantienen bases de datos de referencia de vulnerabilidades, como la National Vulnerability Database (NVDB) y Open Source Vulnerability Database (OSVD). Las propuestas de mejora para el sistema CVSS se focalizan en proporcionar mejores definiciones y conseguir una mayor precisión en las valoraciones. El grupo base de métricas es el que ha sido objeto de una mayor revisión, ya que adolecía de imprecisiones y limitaciones en algunas de sus métricas, lo que generaba cierta confusión en la descripción del ataque.