На практике часто работают только совокупности уязвимостей.
Недавно на эту тему интересный опыт показал Дмитрий Евтеев.
У меня пример попроще:
а) Найдена SQL инъекция в UPDATE, которая не позволяет сделать ничего полезного кроме как получить доступ к админ. консоли.
б) Найдена уязвимость попадания спецсимволов в данные, создаваемые через админ. консоль (конфиг системы).
в) Найдена уязвимость URL-encode в функции copy, которая [...]