Vulnerabilidades
CVSS (Common Vulnerability Scoring System)
Também conhecido como: Pontuação CVSS
Definição
Estrutura aberta, mantida pelo FIRST, que produz uma pontuação de gravidade de 0–10 para uma vulnerabilidade com base nas suas características de exploração e impacto.
Exemplos
- CVE-2021-44228 (Log4Shell): CVSS v3.1 Base 10,0 (Crítica).
- CVE-2014-0160 (Heartbleed): CVSS v2 Base 5,0 (Média).
Termos relacionados
Vulnerabilidade
Fraqueza em um sistema, aplicação ou processo que um atacante pode explorar para comprometer confidencialidade, integridade ou disponibilidade.
CVE (Common Vulnerabilities and Exposures)
Catálogo público que atribui um identificador único a cada vulnerabilidade divulgada para que possa ser referenciada de forma inequívoca em toda a indústria.
EPSS (Exploit Prediction Scoring System)
Modelo orientado por dados, mantido pelo FIRST, que estima a probabilidade de uma CVE ser explorada em ambiente real nos próximos 30 dias.
Vulnerabilidade explorada conhecida (KEV)
CVE que a CISA dos EUA confirma estar ativamente a ser explorada e adiciona ao seu catálogo público KEV, acionando prazos de remediação para agências federais.
Avaliação de vulnerabilidades
Revisão sistemática de um ambiente para identificar, classificar e priorizar fraquezas de segurança, normalmente sem exploração ativa.
Gestão de patches
Processo de ponta a ponta para identificar, testar, implantar e verificar atualizações de software que corrigem vulnerabilidades ou bugs.