La puntuación en la versión 3.0 sigue en esencia los mismos patrones que la versión 2: una vez los valores de las métricas Base son asignadas por un analista, la ecuación definida para calcular la puntuación genera un valor entre 0.0 y 10.0 derivada de dos subcálculos procedentes de las métricas de Explotación e Impacto. Opcionalmente este cálculo puede ser refinado con las ecuaciones de las métricas Temporal y de entorno (Environmental).

De forma similar a la versión anterior, la evaluación de la vulnerabilidad además del valor numérico CVSS se acompaña con una cadena de texto denominada “vector string” que contiene la representación textual de cada valor asignado a cada métrica contemplada.

Métricas y ecuaaciones en CVSS 3.0

Métricas y valores en CVSS 3.0