Разница между CVSS версии 2.0 и CVSS версии 4.0 при оценке уязвимостей заключается в изменениях в структуре метрик и способе расчёта оценки. 16

CVSS версии 2.0 оценивает уязвимости на основе трёх метрик: базовой, временной и контекстной. 3 Каждая метрика представляет собой оценку от 0 до 10 баллов и короткое текстовое описание, содержащее всю необходимую информацию для вывода этой оценки. 3

CVSS версии 4.0, в отличие от предыдущей версии, включает четыре группы метрик: базовые (CVSS-B), угроз (CVSS-T), окружения (CVSS-E) и дополнительные. 6

Некоторые изменения:

• Метрики угрозы (CVSS-T) напрямую отражают возможность эксплуатации уязвимости без учёта информации о существовании уязвимости и наличия её исправления. 6
• Метрики окружения (CVSS-E) представляют собой характеристики уязвимости, которые уникальны для конкретной среды функционирования. 6
• Появилась дополнительная группа показателей, которая обеспечивает дополнительный контекст, который может повлиять на общую оценку риска. 4 Сюда входят такие соображения, как требования безопасности, автоматизированные метрики и уникальные характеристики. 4
• Номенклатура CVSS 4.0 является гибкой и позволяет организациям настраивать систему оценки уязвимостей в соответствии со своими конкретными потребностями. 1

Таким образом, CVSS версии 4.0 делает больший акцент на том, что при оценке уязвимостей важно учитывать инфраструктуру и окружение, в которых функционирует уязвимый компонент. 6