CVSS (Common Vulnerability Scoring System)
¿Qué es CVSS (Common Vulnerability Scoring System)?
CVSS (Common Vulnerability Scoring System)Marco abierto, mantenido por FIRST, que produce una puntuación de severidad 0–10 para una vulnerabilidad según sus características de explotación e impacto.
CVSS evalúa las vulnerabilidades mediante tres grupos de métricas: Base (propiedades intrínsecas como vector de ataque, complejidad, privilegios requeridos e impacto CIA), Temporal/Amenaza (madurez del exploit, remediación) y Entorno (ajustada al despliegue concreto). La puntuación Base, expresada como número y como cadena de vector, es la que aparece en la mayoría de las entradas CVE. CVSS v3.1 es la versión dominante y v4.0 refina las métricas para IoT y la severidad suplementaria. Las puntuaciones deben combinarse con contexto de negocio, criticidad del activo y señales de EPSS o KEV: una CVSS alta no implica siempre alto riesgo real y una baja puede ser crítica en un entorno concreto.
● Ejemplos
- 01
CVE-2021-44228 (Log4Shell): CVSS v3.1 Base 10.0 (Crítica).
- 02
CVE-2014-0160 (Heartbleed): CVSS v2 Base 5.0 (Media).
● Preguntas frecuentes
¿Qué es CVSS (Common Vulnerability Scoring System)?
Marco abierto, mantenido por FIRST, que produce una puntuación de severidad 0–10 para una vulnerabilidad según sus características de explotación e impacto. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa CVSS (Common Vulnerability Scoring System)?
Marco abierto, mantenido por FIRST, que produce una puntuación de severidad 0–10 para una vulnerabilidad según sus características de explotación e impacto.
¿Cómo defenderse de CVSS (Common Vulnerability Scoring System)?
Las defensas contra CVSS (Common Vulnerability Scoring System) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para CVSS (Common Vulnerability Scoring System)?
Nombres alternativos comunes: Puntuación CVSS.