Qué es el CVSS
El Common Vulnerability Scoring System es un estándar que asigna a cada vulnerabilidad una puntuación del 0 al 10 según su gravedad. Tiene en cuenta factores como si se explota por red o en local, la complejidad del ataque, si requiere privilegios y el impacto en confidencialidad, integridad y disponibilidad.
Para qué sirve
Es una referencia común y objetiva. Permite comparar vulnerabilidades y comunicar su gravedad de forma estandarizada. Un CVSS alto es una señal de que algo merece atención.
Su límite
El CVSS no conoce tu negocio. No sabe qué sistema guarda tu dato más sensible ni cuál está aislado sin valor. Por eso una vulnerabilidad "media" puede ser urgente para ti y una "alta" casi irrelevante, según dónde esté.
La puntuación mide la vulnerabilidad. El riesgo lo pones tú, con tu contexto.
Cómo lo usamos
Incluimos el CVSS como referencia, pero priorizamos por riesgo real: el impacto concreto sobre tu negocio y la facilidad de explotación en tu entorno. Es la diferencia entre una lista ordenada por un número y un plan de acción que tiene sentido para ti.