IDプロバイダーの脆弱性のCVSSスコアを評価する方法

私はCVSS計算の専門家ではありませんが、回答を投稿し、コメントで修正が得られるかどうかを確認します。

影響を受けるコンポーネントコンポーネント自体への影響を評価すると思います他に何が接続され、それに依存しているかに関係なく（それが「スコープ」CVSSのものです）メトリックは）。

から CVSSv3.1仕様 ：

2.3。影響指標

Impactメトリックは、攻撃に最も直接的かつ予測可能な形で関連付けられている最悪の結果を被るコンポーネントの、悪用に成功した脆弱性の影響をキャプチャします。アナリストは、攻撃者が達成できると確信している合理的な最終結果に影響を制限する必要があります。

NVD CVSSv3 Calculator に従ってインパクトメトリックの定義を見てみましょう。

機密性への影響（C）

このメトリックは、脆弱性の悪用に成功したためにソフトウェアコンポーネントによって管理される情報リソースの機密性への影響を測定します。機密性とは、情報へのアクセスと開示を許可されたユーザーのみに制限することと、許可されていないユーザーによるアクセスまたは開示を防止することを指します。

この脆弱性により、IDプロバイダーコンポーネントから許可されていない情報を取得できる場合？その後、これは確かにそうです。

そうでない場合、サービスプロバイダー（SP）/証明書利用者（RP）がIdPの認証の失敗により機密性の問題を抱えることは、「予測可能な合理的な最終結果」であるかどうかにかかっています。

ちょっとわかりません。

整合性の影響（I）

このメトリックは、悪用に成功した脆弱性の整合性への影響を測定します。完全性とは、情報の信頼性と信憑性を指します。

この脆弱性により認証メカニズムが回避される場合、アイデンティティプロバイダーからの情報は信頼できなくなります。ほぼ間違いなく高い（I：H）。

可用性への影響（A）

このメトリックは、脆弱性の悪用に成功したことにより影響を受けるコンポーネントの可用性への影響を測定します。機密性と整合性の影響の指標は、影響を受けるコンポーネントが使用するデータ（情報、ファイルなど）の機密性または整合性の喪失に適用されますが、この指標は、影響を受けるコンポーネント自体（ネットワークサービスなど）の可用性の喪失を指します例：ウェブ、データベース、メール）。可用性は情報リソースのアクセス可能性を指すため、ネットワーク帯域幅、プロセッササイクル、またはディスク領域を消費する攻撃はすべて、影響を受けるコンポーネントの可用性に影響を与えます。

この脆弱性を使用してIDプロバイダーをクラッシュさせることはできますか、それ以外の場合は正当なユーザーが利用できなくなりますか？それに依存するSP/RPで可用性の問題が予想どおりに発生しますか？

結局、私があなたの質問にまったく答えたかどうかはわかりません。