攻撃者がアカウントを作成できる場合、CVSS3の「必要な特権」を評価するにはどうすればよいですか？

Common Vulnerability Scoring Systemバージョン3. は、次のような要因に応じて、脆弱性の重大度を評価します。

• 攻撃ベクトル（AV）-攻撃者はどのような種類のアクセスを必要としますか？彼らはネットでそれを行うことができますか、それとも彼らは物理的なアクセスを必要としますか？
• 攻撃の複雑さ（AC）-攻撃は毎回機能しますか、それとも攻撃者の制御の及ばない非常に特定の状況を整える必要がありますか？
• 必要な特権（PR）-この攻撃を成功させるために攻撃者はどのような特権を必要としますか？
• ユーザーインタラクション（UI）-攻撃を成功させるために、ユーザーは特定の方法で攻撃者と対話する必要がありますか？
• スコープ（S）-脆弱性は同じコンポーネントまたは異なるコンポーネントに影響を及ぼしますか？
• 機密性（C）-この脆弱性はデータの機密性にどのように影響しますか？
• 整合性（I）-この脆弱性はデータの整合性にどのように影響しますか？
• 可用性（A）-この脆弱性はデータの可用性にどのように影響しますか？

私は特権が必要（PR）と、特に特定の脆弱性を評価する方法と多少混乱しています。 CVSS3仕様v1.8 による、必要な特権の定義は次のとおりです。

必要な特権（PR）

このメトリクスは、攻撃者が脆弱性を悪用する前に所有する必要がある特権のレベルを示します。このメトリックは、特権が必要ない場合に最大になります。可能な値のリストを表3に示します。

表3：必要な権限：

• なし（N）：攻撃者は攻撃前は無許可であるため、攻撃を実行するために設定やファイルにアクセスする必要はありません。
• 低（L）：攻撃者は、通常はユーザーが所有する設定とファイルにのみ影響する可能性のある基本的なユーザー機能を提供する権限（つまり、必要な権限）で承認されます。または、低特権の攻撃者は、機密性の低いリソースにのみ影響を与える可能性があります。
• 高（H）：攻撃者は、コンポーネントに影響を与える可能性がある脆弱なコンポーネントに対する重要な（管理など）制御を提供する特権（つまり、必要な特権）で承認されます。幅広い設定とファイル。

次に、次の攻撃シナリオを想像してみてください。企業がコミュニティ用のフォーラムを作成し、そこでフォーラムを作成できます。ユーザーの署名が各投稿の下に表示されます。ユーザーは悪意のある<script>-タグを署名に追加して、投稿を読んだ人に保存されたXSS攻撃を作成します。

これはどのように評価されますか？

攻撃者は攻撃を実行するために設定やファイルへのアクセスを必要としないため、必要な権限は「なし（N）」であると私の推論は考えられます。しかし、攻撃者は確かにフォーラムソフトウェアを使用するためにアカウントを必要とするため、特権がないため、これは「低（L）」に分類されると人々が主張するのを聞いたことがあります。