Le metriche temporali, definite dallo standard CVSS, misurano la possibilità in questo momento di sfruttare l’attacco, l’esistenza di eventuali patch o soluzioni alternative, o la fiducia che si ha nella descrizione di una vulnerabilità.

Exploit Code Maturity (E)

Questa metrica misura la probabilità che la vulnerabilità venga sfruttata, e si basa sullo stato attuale delle tecniche utilizzabili, la disponibilità del codice, o la disponibilità di semplici script capaci di sfruttarla aumenta il numero di potenziali aggressori includendo quelli che sono non veri professionisti, aumentando la gravità della vulnerabilità. Inizialmente, lo sfruttamento del mondo reale può essere solo teorica.
In seguito avviene la pubblicazione di codice proof-of-concept, codice exploit funzionante, o dettagli tecnici sufficienti necessarie per sfruttare la vulnerabilità. Nei casi più gravi, può essere utilizzato come payload di un altri strumenti di attacco automatizzati: worm o virus.

Remediation Level (RL)

Il livello di rimedio RL di una vulnerabilità è un fattore importante per definire la priorità di risoluzione. La vulnerabilità tipicamente appena viene pubblicata è senza patch. Soluzioni alternative o correzioni possono offrire delle soluzioni provvisorie fino a quando una patch ufficiale o l’aggiornamento viene rilasciato. Ognuno di questi rispettivi stadi definisce questo punteggio temporale, che riflette la pericolosità diminuendo fino a quando la soluzione diventa definitiva.

Report Confidence (RC)

Questa metrica misura il grado di fiducia nell’esistenza della vulnerabilità e la credibilità dei dettagli tecnici noti. A volte è nota solo l’esistenza della vulnerabilità, ma non sono pubblicati dettagli specifici. La pericolosità e di conseguenza l’urgenza di porre rimedio ad una vulnerabilità è maggiore quando è nota l’esistenza con certezza. Questa metrica suggerisce anche il livello di conoscenze tecniche a disposizione degli aspiranti aggressori.