No queda claro a que se refieren con el scope dentro de Base Score Metrics, alguien sabría desarrollarlo?

El Scope es el alcance que se tiene, es decir, si un asset tiene una vulnerabilidad y esa vulnerabilidad permite afectar los recursos de otro asset, podemos decir que el scope a cambiado es decir se establece el valor como (Changed). Cabe mencionar que si la vulnerabilidad afecta a un componente y puedes afectar otros componentes, esto no es cambio de scope a menos que el otro componente afectado pertenezca a un asset o activo distintos.

Ejemplo: Descubres una vulnerabilidad que te permite consumir una API o un Endpoint sin restricciones. Y ese endpoint a su vez consume un recurso interno de la organización que no está expuesto a internet, podemos decir que el scope a cambiado. O si por ejemplo existe un Endpoint que solo puede ser consumido desde el servidor de una aplicación web y ese endpoint no puede ser accedido externamente por ningun atacante, pero resulta que encuentras una vulnerabilidad de SSRF que te permita consumir ese enpoint a traves del servidor de la aplicacion web y como ese si tiene permiso, puedes consumirlo sin problema y ahí el scope a cambiados.