CVSS
InformativoCommon Vulnerability Scoring System
Definición
CVSS (Common Vulnerability Scoring System) es un estándar abierto para evaluar la severidad de vulnerabilidades de seguridad. Asigna una puntuación de 0.0 a 10.0 basada en métricas como el vector de ataque, la complejidad, los privilegios requeridos, la interacción del usuario y el impacto en confidencialidad, integridad y disponibilidad. La versión actual es CVSS v3.1.
Impacto
Evaluación objetiva y estandarizada de la severidad de vulnerabilidadesDeterminación de la prioridad de parcheoCálculo de recompensas en programas de bug bountyComunicación clara del riesgo entre equipos técnicos y negocio
Ejemplos
Rangos de severidad CVSS v3.1
Las puntuaciones CVSS se clasifican en: None (0.0), Low (0.1-3.9), Medium (4.0-6.9), High (7.0-8.9), Critical (9.0-10.0). Por ejemplo, un SSRF que permite RCE sin autenticación suele tener un CVSS de 9.8 (Critical), mientras que un Open Redirect por sí solo suele recibir un 3.4 (Low).