Sistema de Puntuación de Vulnerabilidades Comunes

El Sistema de Puntuación de Vulnerabilidades Comunes o Common Vulnerability Scoring System (CVSS, por sus siglas en inglés) es un estándar de la industria, libre y abierto, para evaluar la gravedad de las vulnerabilidades en los sistemas informáticos. CVSS intenta asignar puntuaciones de gravedad a las vulnerabilidades, permitiendo a los respondedores priorizar respuestas y recursos según la amenaza. Las puntuaciones se calculan basándose en una fórmula que depende de varios parámetros que aproximan la facilidad y el impacto de un exploit. Las puntuaciones varían de 0 a 10, siendo 10 la más grave. Aunque muchos solo utilizan la puntuación base de CVSS para determinar la gravedad, también existen puntuaciones temporales y ambientales, que consideran la disponibilidad de mitigaciones y cuán extendidos están los sistemas vulnerables dentro de una organización, respectivamente.

La versión actual de CVSS (CVSSv4.0) se lanzó en noviembre de 2023.^[1]

Versión 2.0[editar]

La documentación completa de CVSSv2 está disponible en FIRST.^[2] A continuación se proporciona un resumen.

Métricas base[editar]

Vector de Acceso[editar]

El vector de acceso (AV) muestra cómo puede ser explotada una vulnerabilidad.

Complejidad de Acceso[editar]

La métrica de complejidad de acceso (AC) describe cuán fácil o difícil es explotar la vulnerabilidad descubierta.

Autenticación[editar]

La métrica de autenticación (Au) describe el número de veces que un atacante debe autenticarse en un objetivo para explotarlo. No incluye, por ejemplo, la autenticación en una red para obtener acceso. Para las vulnerabilidades explotables localmente, este valor solo debe establecerse en Única o Múltiple si se requiere una autenticación adicional después del acceso inicial.

Métricas de Impacto[editar]

Confidencialidad[editar]

La métrica de confidencialidad (C) describe el impacto en la confidencialidad de los datos procesados por el sistema.

Integridad[editar]

La métrica de integridad (I) describe el impacto en la integridad del sistema explotado.

Disponibilidad[editar]

La métrica de disponibilidad (A) describe el impacto en la disponibilidad del sistema objetivo. Los ataques que consumen ancho de banda de red, ciclos de procesador, memoria u otros recursos afectan la disponibilidad de un sistema.

Versión 4.0[editar]

En junio de 2023, se lanzó una vista previa pública de CVSSv4.0, que trajo una serie de mejoras. La versión 4.0 se lanzó oficialmente en noviembre de 2023.^[1]

Adopción[editar]

Las versiones de CVSS han sido adoptadas como el método principal para cuantificar la gravedad de las vulnerabilidades por una amplia gama de organizaciones y empresas, incluyendo:

La Base de Datos Nacional de Vulnerabilidades (NVD).^[3]
La Base de Datos de Vulnerabilidades de Código Abierto (OSVDB).
El Centro de Coordinación CERT, que en particular utiliza las métricas Base, Temporal y Ambiental de CVSSv2.

Véase también[editar]

Common Weakness Enumeration (CWE).
Common Vulnerabilities and Exposures (CVE).

Referencias[editar]

↑ ^a ^b «FIRST has officially published the latest version of the Common Vulnerability Scoring System (CVSS v4.0)». FIRST — Forum of Incident Response and Security Teams. Consultado el 18 de mayo de 2024.
↑ «CVSS v2 Complete Documentation». FIRST — Forum of Incident Response and Security Teams. Consultado el 18 de mayo de 2024.
↑ «NVD - Home». nvd.nist.gov. Consultado el 18 de mayo de 2024.

[:0-1] «FIRST has officially published the latest version of the Common Vulnerability Scoring System (CVSS v4.0)». FIRST — Forum of Incident Response and Security Teams. Consultado el 18 de mayo de 2024.

[2] «CVSS v2 Complete Documentation». FIRST — Forum of Incident Response and Security Teams. Consultado el 18 de mayo de 2024.

[3] «NVD - Home». nvd.nist.gov. Consultado el 18 de mayo de 2024.

[1]

[2]

[3]