Le CVSS est un score standardisé d’évaluation de la gravité des vulnérabilités permettant de les prioriser.
Il définit un score compris entre 0 et 10 (10 pour les vulnérabilités les plus critiques) et est calculé à l’aide de 3 métriques :
- La métrique de base qui utilise les qualités intrinsèques de la vulnérabilité
- La métrique temporelle qui peut évoluer au cours du temps
- La métrique environnementale qui évolue selon l’environnement
Pour calculer le CVSS, on utilise en premier lieu la métrique de base qu’on pondère ensuite avec la métrique temporelle et la métrique environnementale.
Le Common Vulnerability Scoring System, bien qu’étant le standard, est dans la pratique un système très critiqué.
Un CVSS n’est pas un CVE qui sert à identifier les vulnérabilités et les communiquer.