Metrica Ambito
Una proprietà importante descritta da CVSS v3.0 è la possibilità per una vulnerabilità in un componente software di riuscire ad utilizzare le risorse privilegi superiori. Questo viene rappresentato dalla metrica Scope (Ambito).
Formalmente, Scope si riferisce all’insieme di privilegi definiti da un’autorità (ad esempio un’applicazione, un sistema operativo, o un ambiente sandbox) nel concedere l’accesso alle risorse di calcolo (ad esempio file, CPU, memoria, ecc). Questi privilegi vengono assegnati sulla base di un sistema di identificazione ed autorizzazione. In alcuni casi, l’autorizzazione può essere semplice od effettuata genericamente sulla base di regole o standard predefiniti. Ad esempio, nel caso di traffico Ethernet inviato ad uno switch, l’apparato accetta traffico che arriva sulle porte ed è un’autorità che controlla il flusso del traffico indirizzandolo verso altre porte.
Quando la vulnerabilità di un componente software che governa le autorizzazioni è in grado di influenzare le risorse governate cambiando i permessi di autorizzazione, si verifica un cambiamento ambito (Scope).
Il punteggio è maggiore quando si può verificare un cambiamento di ambito. I valori possibili per la metrica sono:
- Invariato (U) la vulnerabilità può interessare solo le risorse gestite dalla stessa autorità. In questo caso il componente vulnerabile ed il componente impattato sono uguali.
- Modificato (C) la vulnerabilità sfruttata può influenzare risorse oltre i privilegi di autorizzazione previsti dalla componente vulnerabile. In questo caso il componente vulnerabile e il componente impatto sono differenti.