[〜#〜] cvss [〜#〜] バージョン3では、4つの異なる攻撃ベクトルがあります。私はローカルと物理を区別することができません。
たとえば、「ログアウトボタンがない」と報告したい場合は、物理的なアクセスベクトルを使用します。どの場合にローカルをアクセスベクターとして使用できますか? Webアプリケーションベースの脆弱性を参照してみてください。
「ログアウトボタンがない」という問題は、物理的なベクトルではありません。物理的とは、サーバーの真正面に立っているときのように、サーバーに直接物理的にアクセスできることを意味します。サーバーの盗難という状況での物理的なアクセスは、攻撃者がディスク上のデータを手に入れることになるため、「物理的」により適切なものは、フルディスク暗号化の欠如です。
ローカルとは、システムへのログインセッションがあることを意味します。このような問題の例としては、ファイルのアクセス許可が不十分なサービスバイナリがあり、ローカル権限の昇格が可能になります。
隣接とは、サーバーと同じネットワークセグメント上にいることを意味します。これは、ARPスプーフィングなどの攻撃に適用でき、同じサブネット上にいる必要があります。
名前が示すように、リモートはリモートネットワークに接続している場合です。
CVSSベクトルはほとんどがWebアプリケーション用に調整されていないことに注意してください。すべてではないにしても、ほとんどの問題はリモートベクトルとしてマークする必要があります。