为什么CVSS的分数会改变？

Question

在国家漏洞数据库页面(https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0778)中，从变更历史中可以看出，CVSS的v3评分已经超时了。例如，CVE-2016-0778在添加时有这个CVSS分数：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H。过了一段时间，他们将其更新为AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H。在这里，AV攻击的复杂性正在从低到高。我认为这意味着这个漏洞更难被利用。为什么需要这些改变？

Answer 1

一般说来，当漏洞被更好的理解时，它们就会被重新编码。似乎米特雷经常在最坏的情况下得分，然后随着问题的进一步研究而降低分数。

至于这个特殊的漏洞，它并不是100%清楚，但得分被改变的同时，他们做了其他几个变化-其中之一是添加供应商咨询。该建议声明：“匹配的服务器代码从未提供过，但默认情况下客户端代码是启用的，恶意服务器可能会欺骗它将客户端内存泄漏到服务器，包括私有客户端用户密钥。”因此，对于利用此漏洞的人来说，他们必须编写适当的服务器代码；2)获取服务器使用修改后的版本；3)获取客户端连接到受威胁的服务器。

现在看一看CVSS v3计算器，由于攻击复杂度低，它说“不存在专门的访问条件或减轻攻击的环境。攻击者可以期望对易受攻击的组件反复成功。”显然不是这样，因为攻击者必须有一个受损的服务器(即专门的访问条件)。现在看一下对高攻击复杂性的描述，它说，“成功的攻击.需要攻击者投入一定的精力来准备针对易受攻击的组件执行，然后才能预料到成功的攻击”。根据咨询意见，情况似乎确实如此。

免责声明:我与Mitre对此漏洞的评分无关(虽然我确实为我的雇主写过警告和评分漏洞)，但考虑到现有的信息，这个更改对我来说是有意义的。