La CVSS est un système standardisé de notation des vulnérabilités établi par le FIRST (Forum of Incident Response and Security Teams).
Le score calculé, qui est entre 0 et 10, reflète la gravité de la vulnérabilité. Plus le score est élevé, plus elle est critique (niveau faible, moyen, élevé ou critique). Il est évalué en fonction de 3 groupes métriques :
- un score de base, qui permet d’évaluer un problème (impact théorique de la vulnérabilité)
- un score temporel, représentant les caractéristiques d’une vulnérabilité pouvant évoluer en fonction d’exploits présents dans la nature, de correctifs…
- un score environnemental, qui prend en compte l’environnement et les conséquences de l’exploitation de cette vulnérabilité. Il évoluera en fonction des corrections existantes, des mesures palliatives, etc.