Các yêu cầu về việc đánh giá, phân loại, xác định mức độ ảnh hưởng của các lỗ hổng bảo mật mới đòi hỏi phải có những sửa đổi, cập nhật cho hệ thống chấm điểm. Do đó, hệ thống chấm điểm lỗ hổng bảo mật phổ biến - phiên bản 3.0 ra đời để khắc phục những hạn chế, tồn tại của phiên bản đang được sử dụng 2.0.

Hệ thống chấm điểm lỗ hổng bảo mật (CVSS) đã được sử dụng rộng rãi trong các chương trình quản lý lỗ hổng trong gần 2 thập kỷ qua. Được phát hành lần đầu tiên vào năm 2005, CVSS đã trải qua 4 lần sửa đổi với 3 phiên bản chính thức và 1 phiên bản đang trong quá trình hoàn thiện. Bài báo này trình bày những khác biệt trong 2 phiên bản CVSS được sử dụng song song hiện nay là CVSS 2.0 và 3.0.

Theo tiêu chuẩn IETF RFC 4949 [1], lỗ hổng bảo mật là điểm yếu trong thiết kế, triển khai hoặc vận hành và quản lý của hệ thống có thể bị khai thác, dẫn đến các vi phạm chính sách bảo mật của hệ thống. Để đánh giá mức độ nghiêm trọng của một lỗ hổng, quản trị viên cần dựa vào hệ thống chấm điểm lỗ hổng phổ biến. Vậy hệ thống này là gì? Các tiêu chí để chấm điểm lỗ hổng bảo mật được thực hiện như thế nào?