無入力検証のCVSSスコア

セキュリティ評価中に、アプリケーションがデータベースの入力フィールドから直接JavaScriptを書き込んだことがわかりました。アプリケーション自体は良好な出力サニタイズを備えていたため、そのアプリケーションではXSSは不可能でした。同じデータを使用した別のアプリケーションでは、出力のサニタイズが適切でなく、XSSの脆弱性がありましたが、それ以降は修正されています。

したがって、私が今持っているのは、入力データが適切に検証されていないという発見です。これは、出力を適切にサニタイズしないが、現在のアプリケーションでは問題を引き起こす可能性があります。それにどのCVSSスコアを付けますか？今は悪用できないので、脆弱性を高くすることはできません。しかし、将来的には問題が発生する可能性があるため、「多層防御」のコンテキストで修正してほしいと思います。

質問：悪用できない入力検証の脆弱性に対するCVSSスコアはどうなりますか？