Respecto las métricas descritas en la versión CVSS 3.0 podemos destacar los siguientes cambios:
Grupo de métricas base:
- La subcategoría de explotación se redefine con las métricas “Access Attack” (Vector de Ataque), “Attack Complexity” (Complejidad de Ataque), ”Privileges Required” (Privilegios requeridos) e “User Interaction” (Interacción de Usuario). Estas nuevas categorías aparecen para sustituir a las anteriores: “Vector Acceso” (Access Vector), “Complejidad de acceso” (Access Complexity) y “Autenticación” (Authentication) que creaban confusión e imprecisiones a la hora de describir el ataque.
- Nueva métrica: Alcance o “Scope”. Esta propiedad complementa la evaluación global de las métricas base, y dará mayor o menor valor al resultado, dependiendo qué privilegios y qué recursos se ven afectados al explotar la vulnerabilidad. Así, además de las subcategorías de impacto y explotación, se tendrá en cuenta el alcance o “Scope”. Esta métrica dará mayor o menor valor a la métrica base, dependiendo de qué privilegios se adquieran al explotar la vulnerabilidad y la cantidad de recursos que puedan verse afectados (software, hardware, sistemas operativos, ficheros, etcétera).
Grupo de métricas de entorno:
- Se eliminan las métricas “Collateral Damage Potential” (Daño potencial colateral) y “Target Distribution” (Distribución de objetivos). En su lugar, se revalúan las métricas base, según las condiciones de mitigación o debilidades que existen en el ambiente de los usuarios, y que podrían afectar al impacto de una explotación de vulnerabilidades exitosa.
- Criterios cualitativos de clasificación: En la versión 2 de CVSS no se aportaba un criterio definido para asignar una correspondencia entre una escala cualitativa y un valor cuantitativo. En esta versión 3 se cubre esta carencia, y se establece una correspondencia cualitativa de la severidad con el valor cuantitativo de la vulnerabilidad:
Correspondencia entre la puntuación CVSS y valor cualitativo (severidad)