CVSS 4.0正式リリース
FIRST は 1 日、CVSS 4.0 を正式リリースした (プレスリリース、 ドキュメントとリソース、 HackRead の記事、 Bleeping Computer の記事)。
6 月に第 35 回 FIRST 年次カンファレンスでプレビュー版が公開された CVSS 4.0 では消費者向けの基本評価基準の粒状度がより細かくなり、下流の採点法からあいまいさを除いたほか、脅威の判定基準の単純化や、環境評価基準のセキュリティ要求度ならびに代替管理策の評価の有効性向上などが行われている。
また、攻撃の自動化可能性 (AU) や攻撃を受けた場合の復元可能性 (R)、1回の攻撃で支配下に置くことのできるリソースの密度 (V)、消費者による脆弱性対応の容易さ (RE)、評価提供者による緊急性評価 (U)といった補助的な脆弱性評価基準が追加されており、OT/ICS/IoT への追加の適用性が含まれるとのことだ。