NIST NVDのCVSS ScoreがVersion 4.0デフォルトになっていました。これに伴い、パット見でCVSSスコアが未定義のものが増えているように見間違いする可能性もありますので、こちらに書いておきます。
NIST NVDのCVSS Scoreがver 4.0デフォルトに
すでに以前のブログ(【翻訳】CVSS v4.0ユーザガイド)でも取り上げていますが、CVSSがv4.0になりました。
これを受けて、NIST NVDの脆弱性情報(CVE-idによる検索)も、デフォルトでCVSS v4.0が表示される様になっています(下記はlog4shell(CVE-2021-44228)のNVDでの表示になります)。
この様に、CVSS Version 4.0がデフォルトになっています。そのため、「NVD assesment not yet provided.」と出てしまいますが
この様に、「CVSS Version 3.x」を選択するとCVSS 3.1が表示される様になります。パット見だとCVSS未アサインのものが増えた様に勘違いしてしまいますので(特に先日、NVDの規模縮小がニュースになりましたので)、CVSSを確認する際には気をつけましょう。
