Concern

Im OSSTMM eine mittlere Kategorie für Sicherheitslücken, die nicht direkt ausgenutzt werden, aber von Best Practices abweichen. Eine Concern-Einstufung deutet darauf hin, dass ein Element zwar aktuell keine unmittelbare Exploit-Strategie ermöglicht, jedoch gegen etablierte „Best Practices“ verstößt. Beispiele sind veraltete Softwareversionen, inkonsistente Patch-Level oder ungenügend abgesicherte Konfigurationsdateien. Während sie noch nicht kritisch sind, können sie in Verbindung mit anderen Schwachstellen später zu einer echten Vulnerability eskalieren. OSSTMM empfiehlt, Concerns zeitnah in Risikomanagementprozesse einzupflegen und entsprechende Milestones oder Audit-Nachtests anzusetzen, um das Risiko einer Verschärfung zu minimieren.