Het Forum of Incident Response and Security Teams (FIRST) heeft na ruim vier jaar een nieuwe versie van het Common Vulnerability Scoring System (CVSS) uitgebracht voor het beoordelen van de impact van kwetsbaarheden. Een CVSS-score bestaat uit een schaal van 1 tot en met 10, waarbij 10 de maximale score is. De score is uit verschillende onderdelen opgebouwd.

Zo wordt gekeken wat de aanvalsvector is (lokaal, fysiek of netwerk), hoe lastig het is om misbruik van de kwetsbaarheid te maken, of er interactie van de gebruiker is vereist en of de aanvaller over bepaalde permissies moet beschikken om de aanval uit te voeren. Verder wordt er ook gekeken wat de gevolgen van de kwetsbaarheid zijn voor de beschikbaarheid, vertrouwelijkheid en integriteit van informatie of het systeem.

Dit leidt tot een "basisscore" die kan worden aangevuld met een tijdelijke score, bijvoorbeeld de beschikbaarheid van exploitcode, en een omgevingsscore, die specifiek voor de organisatie van een gebruiker is. Organisaties kunnen zo zien welke kwetsbaarheden de grootste prioriteit moeten krijgen. Beveiligingslekken met een basisscore van 10 komen geregeld in het nieuws.

De eerste versie van CVSS verscheen begin 2005, waarbij versie 3.1 die in juni 2019 uitkwam de laatste versie was. Nu heeft FIRST CVSS 4.0 aangekondigd. Deze versie moet een meer fijnmazige basisscore bieden en houdt meer rekening met omgevingsvariabelen en 'threat intelligence'. Ook is er een nieuwe aanvullende categorie toegevoegd en wordt er rekening gehouden met leverancier en gebruikers. De aanpassingen zijn volgens FIRST een 'game-changer' voor de cybersecuritysector.