# CVSS v4.0: Métricas y puntuación de vulnerabilidades para desarrolladores
CVSS ofrece una puntuación estandarizada de 0 a 10 para evaluar vulnerabilidades. La puntuación base refleja las cualidades inherentes de la vulnerabilidad, independientemente del entorno específico. El NVD publica estas puntuaciones para los CVE públicos, y la versión 4.0 refina las métricas para mayor precisión.
Los desarrolladores usan CVSS para priorizar parches: puntuaciones por encima de 7 requieren acción inmediata, especialmente con exploits de prueba de concepto disponibles. Centrarse en vectores de ataque e impacto ayuda a diferenciar riesgos teóricos de amenazas reales.
Métricas base: El núcleo de la puntuación
El grupo base captura los atributos fijos de una vulnerabilidad.
- Vector de ataque (AV): Red (N) — ataque remoto; Adyacente (A) — red local; Local (L) — acceso directo; Físico (P) — manipulación física.
- Complejidad de ataque (AC): Baja — directa; Alta — requiere condiciones como hombre en el medio.
- Privilegios requeridos (PR): Ninguno — sin autenticación; Bajos — derechos básicos; Altos — acceso de administrador.
- Interacción del usuario (UI): Ninguna — totalmente automatizada; Requerida — clic del usuario o apertura de archivo.
El impacto se evalúa en la tríada CIA:
- Confidencialidad (C): Ninguna/Baja/Alta — gravedad de fuga de datos.
- Integridad (I): Ninguna/Baja/Alta — potencial de modificación.
- Disponibilidad (A): Ninguna/Baja/Alta — impacto de denegación de servicio.
Ejemplo: CVE-2021-44228 (Log4Shell) con AV:N/AC:L/PR:N/UI:N y Alta en todas las CIA obtiene un perfecto 10.0.
Métricas temporales: Adaptándose a la evolución de las amenazas
Las métricas temporales ajustan la puntuación base según las condiciones actuales.
| Métrica | Descripción | Impacto en puntuación |
|---------|-------------|-----------------------|
| Madurez del código de exploit (E) | Ninguna/PoC/Alta | Aumenta con código disponible |
| Nivel de remediación (RL) | Ninguno/Solución temporal/Oficial | Disminuye con parches |
| Confianza en el informe (RC) | Baja/Media/Alta | Baja con incertidumbre |
EternalBlue (CVE-2017-0144, base 8.1) se volvió crítica tras exploits PoC en WannaCry, gracias a E Alta.
Métricas ambientales: Adaptadas a tu entorno
Las métricas ambientales permiten ajustar las métricas base (como AV, AC modificados) a tu entorno. Requisitos adicionales incluyen:
- Requisito de confidencialidad (CR): Alto para datos PCI DSS.
- Requisito de integridad (IR): Alto para archivos de configuración.
- Requisito de disponibilidad (AR): Alto para servicios críticos.
En una red aislada, AV:N baja a AV:L, reduciendo la puntuación en 2-3 puntos.
Escala de puntuación CVSS y reglas de priorización
| Rango | Nivel | Acción |
|-------|-------|--------|
| 0 | Ninguno | Ignorar |
| 0.1–3.9 | Bajo | Monitorear |
| 4.0–6.9 | Medio | Evaluar contexto |
| 7.0–8.9 | Alto | Parchear urgentemente |
| 9.0–10.0 | Crítico | Parchear inmediatamente |
Reglas para desarrolladores intermedios/senior:
- CVSS ≥9.0 + PoC = parche de máxima prioridad.
- Cualquier puntuación en componentes no usados = eliminarlos.
- Validar métricas modificadas en tus pipelines CI/CD.
Ejemplos del mundo real
- Log4Shell: RCE completo vía logs, base 10.0.
- Follina (CVE-2022-30190): 7.8, escalada a Alto con exploits APT.
- CVE-2024-40711 (Veeam): Bypass de autenticación RCE, crítico para backups.
Integra CVSS en escáneres como Trivy o Dependency-Check.
Fuentes de datos confiables
Para verificación de CVE:
- cve.org — registro oficial.
- NVD — detalles CVSS, CWE, CPE.
- Exploit-DB — exploits PoC.
- OWASP — Top 10, Guía de pruebas.
- PortSwigger Academy — laboratorios de ataques web.
Evita fuentes de hype no verificadas.
Conclusiones clave
- La puntuación base es el punto de partida; Temporales y Ambientales la hacen relevante al mundo real.
- Red + Sin privilegios + CIA Alta = siempre ≥9.0.
- Integra CVSS en la automatización de escaneo de repos.
- Verifica PoC antes de dar alarmas.
- Para producción, usa siempre métricas modificadas.
— Editorial Team
Aún no hay comentarios.