CVSS, del inglés Common Vulnerability Scoring System, es un framework abierto y universalmente utilizado que establece unas métricas para la comunicación de las características, impacto y severidad de vulnerabilidades que afectan a elementos del entorno de seguridad IT.
CVSS es un sistema de puntuación que proporciona un método estándar y abierto para estimar el impacto de una vulnerabilidad y que se compone tres grupos principales de métricas: base, temporal y de entorno (environmental). Cada uno de estos grupos se compone a su vez de un conjunto de métricas. Vamos a verlo con más detalle:
- Grupo base: engloba las cualidades intrínsecas de una vulnerabilidad y que son independientes del tiempo y el entorno. Las métricas evaluadas en este grupo son:
- Access Vector (AV). Valores: [L,A,N] (Local, Adjacent, Network.Access Complexity (AC). Valores [H,M,L] (High, Medium, Low).Authentication (Au). Valores [M,S,N] (Multiple, Single, None).Confidenciality Impact (C) . Valores [N,P,C] (None, Partial, Complete).Integrity Impact (I). Valores [N,P,C] (None, Partial, Complete).Availability Impact (A). Valores [N,P,C] (None, Partial, Complete).
- Grupo temporal: características de la vulnerabilidad que cambian en el tiempo. Se aplican tres métricas:
- Exploitability (E). Valores: [U,POC,F,H,ND] (Unproven, Proof-of-Concept, Functional Exploit, High, Not Defined).Remediation Level (RL). Valores: [OF,TF,W,U,ND] (Official Fix, Temporary Fix, Workaround, Unavailable, Not Defined).Report Confidence (RC). Valores: [UC,UR,C,ND] (Unconfirmed, Uncorroborated, Confirmed, Not Defined).
- Grupo environmental: las características de la vulnerabilidad relacionadas con el entorno del usuario. En este caso, los factores que se evalúan son:
- Collateral Damage Potential (CDP). Valores: [N,L,LM,MH,H,ND] (None, Low, Low Medium, Medium High, High, Not Defined).Target Distribution (TD). Valores: :[N,L,M,H,ND] (None, Low, Medium, High, Not Defined).Security Requirements (CR, IR, AR). Valores: [L,M,H,ND] (Low, Medium, High, Not Defined).
En la siguiente tabla se recogen todas las métricas y los posibles pares parámetro/valor:
