CVSSバージョン3でのローカル攻撃と物理攻撃の違いは？

「ログアウトボタンがない」という問題は、物理的なベクトルではありません。物理的とは、サーバーの真正面に立っているときのように、サーバーに直接物理的にアクセスできることを意味します。サーバーの盗難という状況での物理的なアクセスは、攻撃者がディスク上のデータを手に入れることになるため、「物理的」により適切なものは、フルディスク暗号化の欠如です。

ローカルとは、システムへのログインセッションがあることを意味します。このような問題の例としては、ファイルのアクセス許可が不十分なサービスバイナリがあり、ローカル権限の昇格が可能になります。

隣接とは、サーバーと同じネットワークセグメント上にいることを意味します。これは、ARPスプーフィングなどの攻撃に適用でき、同じサブネット上にいる必要があります。

名前が示すように、リモートはリモートネットワークに接続している場合です。

CVSSベクトルはほとんどがWebアプリケーション用に調整されていないことに注意してください。すべてではないにしても、ほとんどの問題はリモートベクトルとしてマークする必要があります。