无输入验证的CVSS评分

Question

在安全评估期间，我发现一个应用程序直接从数据库中的输入字段编写JavaScript。它自己的应用程序具有良好的输出消毒功能，因此在该应用程序中不可能使用XSS。使用相同数据的不同应用程序没有良好的输出消毒功能，并且存在XSS漏洞，自那时起就对此进行了修复。

因此，我现在发现输入数据没有得到正确的验证，这可能会给那些不能很好地净化输出的应用程序带来问题，但在当前的应用程序中却不是这样。我会在这上面加多少分？我很难使它成为一个高脆弱性，因为它现在是不可能利用的。但在未来，它可能会带来问题，我确实希望在“深度防御”的背景下解决这个问题。

问题:对于不可利用的输入验证漏洞，CVSS的得分是多少？

Answer 1

比分是0.0。由于没有立即影响，保密性、完整性和可用性将设置为无，这将使评分为0.0。

此外，用户输入保存在数据库中也不一定是一个安全问题。重要的是，它是正确编码的输出。