Problém je, že poslední dobou se někteří utrhli ze řetězu a nahlašují kritická CVE na komponenty, které jsou (když to trošku přeženu, ale jen malinko) třeba dvě úrovně hluboko a teoreticky se dají jen špatně použít.
A neexistuje rozumný způsob jak to skóre revidovat přímo u MITRE. Prostě tam pořád svítí 9.8 a zákazníci to vidí.