FAQ

Sì, un punteggio CVSS può evolvere nel tempo, soprattutto se emergono nuove informazioni. Ad esempio, un exploit pubblico, un workaround per una patch o una prova di sfruttamento attivo possono indurre gli analisti a rivedere il punteggio temporale o persino il vettore di base se viene rilevato un errore di valutazione iniziale.

Inoltre, strumenti automatizzati come quelli del NVD aggiornano regolarmente i punteggi CVSS in base ai dati sul campo e alle pubblicazioni. Si raccomanda quindi alle aziende di rivalutare periodicamente le proprie analisi, in particolare per le vulnerabilità critiche.

No, l'esistenza di una CVE non garantisce che sia disponibile una patch. Una CVE può essere pubblicata prima che un fornitore abbia sviluppato una patch, o anche in casi in cui non è prevista alcuna patch (ad esempio, per software obsoleti o non più supportati). In queste situazioni, gli utenti devono implementare misure di mitigazione o disabilitare determinate funzionalità vulnerabili.

È quindi essenziale non solo consultare le CVE, ma anche verificare le raccomandazioni dei fornitori e database come l'NVD o il database KEV, che possono indicare se esiste una patch e entro quali tempistiche è prevista. Una buona gestione dei rischi tiene conto sia della gravità della vulnerabilità sia della disponibilità di soluzioni.