El Common Vulnerabilities and Exposures (CVE) Program anunció el lanzamiento de CVE 4.0, una nueva versión del estándar para la evaluación de vulnerabilidades de seguridad informática. La nueva versión incluye una serie de mejoras, como:
- Una nueva escala de gravedad de 0 a 10, que reemplaza la escala de 3 a 10 de CVE 3.1.
- Un nuevo sistema de puntuación para cada factor de riesgo, que proporciona una evaluación más precisa de la gravedad de una vulnerabilidad.
- La introducción de nuevos factores de riesgo, como la facilidad de explotación y la disponibilidad de medidas de mitigación.
CVE 4.0 es una actualización importante del estándar CVE, que proporciona una mejor evaluación de la gravedad de las vulnerabilidades. La nueva escala de gravedad y el sistema de puntuación ayudarán a los profesionales de la seguridad a tomar mejores decisiones sobre cómo priorizar y remediar las vulnerabilidades.
¿Cuáles son las novedades de CVSS v4?
Las novedades principales de CVSS v4, de manera genérica se pueden resumir en los siguientes puntos:
- Mayor nivel de detalle en las métricas base.
- Se eliminan aspectos que causan ambigüedad.
- Se simplifican las métricas de amenazas y se mejoran las puntuaciones del nivel de impacto.
- Se incorporan atributos complementarios para las respuestas ante vulnerabilidades.
- CVSS v4, a diferencia de CVSS v3.X, se puede aplicar a sistemas OT/ICS/IoT.
Más información:
- Here Comes CVSS v4.0
- CVSS v4 is Almost Here – What You Need to Know
- Announcing CVSS v4.0
- CVSS v4.0 calculator
- Common Vulnerability Scoring System version 4.0: Specification Document
- Common Vulnerability Scoring System version 4.0: User Guide
- https://csrc.nist.gov/glossary/term/vulnerability
- https://www.first.org/cvss/v4-0/examples
