脆弱性重大度評価で発見された不一致 from darkreading.com

NIST は 9.1 のスコアを与え、「重大な」脆弱性にしました。
VulnCheck によると、NVD の脆弱性に関する情報では、スコアが異なる理由についての洞察は得られませんでした。
この高い競合率は、脆弱性管理チームのリソースが不足している組織の修復作業を後退させる可能性があると、VulnCheck の脆弱性研究者である Jacob Baines 氏は述べています。
「CVSS スコアリングに大きく依存している脆弱性管理システムは、重大ではない脆弱性を優先することがあります」と彼は言います。
多くの組織が自社製品の脆弱性に重大度スコアを割り当てる際に CVSS 標準を使用しており、セキュリティ チームは通常、このスコアを使用して、環境内の脆弱なソフトウェアにパッチを適用する順序を決定しています。
「この脆弱性には公開されたエクスプロイトがありますか? この脆弱性は実際に悪用されましたか? この脆弱性はランサムウェアまたは APT によって使用されていますか? この脆弱性はインターネットに公開される可能性がありますか?」