Niveles de seguridad
Última modificación: 30 de septiembre de 2021
Visión general
Este documento explica los niveles de seguridad de los avisos que publicamos en nuestra Página de seguridad.
A partir de TSR-2017-0002, utilizamos la versión 3 del Common Vulnerability Scoring System (CVSSv3) para puntuar las vulnerabilidades. Cuando revelamos una vulnerabilidad, proporcionamos la puntuación base CVSSv3 de la vulnerabilidad y su vector base. Puede utilizar el vector base CVSSv3 para determinar la puntuación CVSSv3 completa.
Puntuación base y métricas base
La puntuación base es un valor numérico que va desde 1
para 10
y aumenta a medida que aumentan los niveles de vulnerabilidad. Un valor de 10
indica las vulnerabilidades más graves. Las Métricas Base son características de vulnerabilidad que permanecen constantes independientemente de los cambios de tiempo o entornos de usuario.
Para calcular la puntuación base, asigne valores a las métricas base. Para obtener información sobre cómo calcular las puntuaciones base, visite first.org’s Una guía completa para CVSSv3 documentación.
Vector base
El vector base describe los componentes a partir de los cuales se calcula la puntuación base. Los vectores base se muestran en la siguiente estructura:
(CVSS:3.0/AV:[L,A,N,P]/AC:[L,H]/PR:[N,L,H]/UI:[N,R]/S:[U,C]/C:[N,L,H]/I:[N,L,H]/A:[N,L,H])
Nota:
usted debe elija una opción para cada conjunto de soportes.
- Las métricas que no contienen los corchetes son obligatorio, y tu debe inclúyalos para crear un vector CVSS válido.
- Cada letra o par de letras representa un valor métrico o métrico dentro de CVSS.
La siguiente tabla define cada métrica del vector base y sus posibles valores:
Métrico | Descripción | Valores posibles |
---|---|---|
AV | Nivel de explotación de la red de una vulnerabilidad. |
|
AC | Complejidad de ataque requerida por una vulnerabilidad. | |
PR | Nivel de autenticación de cuenta requerido por una vulnerabilidad. |
|
UI | El requisito de una vulnerabilidad de que otro usuario realice una acción. |
|
S | El impacto de una vulnerabilidad en los sistemas más allá del componente vulnerable. |
|
C | El impacto de la confidencialidad de la información de una vulnerabilidad. |
|
I | Impacto en la integridad de la cuenta de una vulnerabilidad. |
|
A | Impacto en la disponibilidad de la cuenta de una vulnerabilidad. |
|
Niveles de seguridad heredados
Para obtener información sobre los niveles de seguridad anteriores a TSR-2017-0002, lea nuestro Niveles de seguridad heredados documentación.