アカウントロック不備はCWE-307が割り当てられています（Improper Restriction of Excessive Authentication Attempts (過度な認証試行の不適切な制限)）。で、CWE-307が割り当てられている脆弱性を調べてみると、たとえば、CVE-2020-14484があります。

OpenClinic GA versions 5.09.02 and 5.89.05b may allow an attacker to bypass the system’s account lockout protection, which may allow brute force password attacks.

NVD - CVE-2020-14484

アカウントロックをバイパスできると説明されていますが、この脆弱性のCVSSv3は9.8(Critical)です（CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）。CWE-307の他の脆弱性も、調べた範囲では同じでした…まぁ、同じでないと、それはそれでおかしいわけですが。

率直に言って9.8なわけないと思うわけですが、機械的にCVSSを適用するとそうなってしまいます。ご指摘のように「あくまで攻撃が成立した場合が前提」となっているように見受けます。

本来的に言えば、パスワード認証の本筋は良質のパスワードをつけることであり、アカウントロックは緩和策に過ぎないわけですから、それが「ないこと」をもってCVSS 9.8というのはめちゃくちゃですが、さりとて、適当にパラメータを操作して「らしい」値にすることも好ましくないと思います。

ということで、私見としては、アカウントロックが「ないこと」をCVSSで評価することは無理があり、好ましくないと思います。