CVSSスコアリモートまたはローカルシナリオ

最初から仕様と例を見ると、どちらも正しくありません。

例から始めましょう：

• CVE-2015-1098 -これは、特別に細工されたファイルを介したiWorkのDoSに関するものです-スコアはAV：LおよびUI：Rです。

• CVE-2009-0658 -これは、特別に細工されたファイルを介したAdobe acrobatでのバッファオーバーフローに関するものです-スコアもAV：LおよびUI：Rです。

どちらの場合も、脆弱性はローカルパーサーにあり、被害者がファイルを開かなければならないことが理由です。

CVSSv3 spec を見ると、その理由がわかります。

Network：ネットワークアクセスで悪用可能な脆弱性は、脆弱なコンポーネントがネットワークスタックにバインドされ、攻撃者のパスがOSIレイヤー3（ネットワークレイヤー）を経由することを意味します。

Local：ローカルアクセスで悪用可能な脆弱性は、脆弱なコンポーネントがネットワークスタックにバインドされておらず、攻撃者のパスが読み取り/書き込み/実行によるものであることを意味します機能。 [...]彼女は悪意のあるファイルを実行するためにユーザーインタラクションに依存する可能性があります。

どちらの攻撃もOSIレイヤー3では機能しないため、「ネットワーク」ではありませんが、悪意のあるファイルを実行するユーザーに依存するため、ユーザーの操作が必要です。

これはCVSSv2とは対照的であることに注意してください。CVSSv3の例では、問題をアクセスベクターネットワークとしてリストしています（これは CVSSv2ガイド と実際には一致しません）。 CVSSv3ユーザーガイド は、これについていくつかの説明を提供します。

CVSS v2.0では、スコアリングのヒント5に次のように記載されています： "[...]"このガイダンスは、攻撃者がユーザーをだましてリモートWebサーバーから不正なドキュメントをダウンロードさせ、ファイル解析の脆弱性を悪用する場合に混乱を招く場合がありました。このような場合、CVSS v2.0を使用するアナリストは、これらの脆弱性を「ネットワーク」として扱います[...]

このガイダンスは、攻撃ベクトルメトリックのネットワークおよび隣接値の定義を明確にすることにより、CVSS v3.0で改善されました。具体的には、脆弱性がネットワークスタックにバインドされている場合、アナリストはネットワークまたは隣接のスコアのみを取得する必要があります。悪意のあるコンテンツ（USBドライブなどを介してローカルに配信されることもある）をダウンロードまたは受信するためにユーザーの操作を必要とする脆弱性は、ローカルとしてスコアリングする必要があります。

たとえば、悪用されるためにネットワークに依存しないドキュメント解析の脆弱性は、そのような悪意のあるドキュメントの配布に使用された方法に関係なく、通常、Local値でスコアリングする必要があります（例：Webサイトへのリンク、またはUSBスティックを介したリンク）。

したがって、基本的に、CVSSv2ネットワークのスコアリングは混乱の結果であり、正しいとは見なされていません。

ネットワークスタックが関与しているため、ブラウザベースの攻撃はファイルベースの攻撃よりも 完全に異なる と見なされます（リンクにはかなり長い説明が含まれています）。

技術的な観点から見ると、このスコアリングは実際には攻撃ベクトルが何であるかを理解しているため、私には非常に理にかなっています。実際には、同じ損傷をもたらし、非常に類似したシナリオで悪用される可能性のある2つの問題が非常に異なるスコアを受け取ることは少し奇妙に思えるかもしれません。

_{あなたはそれについて尋ねませんでしたが、LとしてのあなたのCIA評価は私には低すぎるようです。私はHについて良い議論ができると思います、それはあなたにCVSS：3.0/AV：L/AC：L/PR：N/UI：R/S：U/C：H/I：H/A：Hを与えるでしょう-> 7.8}