今朝、同僚と話し、CVSSを不適切な構成に割り当てることの修正について話し合いました。具体的には、HTTPSの代わりにHTTPを使用する場合に関連するベクターが必要かどうかについて話し合いました。
私の観点から見ると、構成はソフトウェアまたはハードウェアの欠陥ではないという意味で、脆弱性ではありません。したがって、関連するリスク要因を持つことができますが、そこから派生するベクトルやスコアはありません。
あなたの意見は何ですか?
コメントに記載されているように、HTTPの例は設定ミスではありません。ただし、特定の構成によって脆弱性が発生または拡大する可能性があります。たとえば、Webアプリのエンドポイントが認証を強制しない場合(必要な場合)、ユーザーまたは攻撃者がセキュリティ制御をバイパスできるため、Pentestingレポートで「セキュリティの誤設定の脆弱性」としてラベル付けされ、次のように評価されます。リスクが高い。
他のタイプの脆弱性と同じように攻撃にさらされる可能性があるため、構成は脆弱性になる可能性があります。
そして、あなたは設定にcvssスコアを割り当てることができますが、それが理にかなっているなら別の質問です...