CVSS (Common Vulnerability Scoring System)
O que é CVSS (Common Vulnerability Scoring System)?
CVSS (Common Vulnerability Scoring System)Estrutura aberta, mantida pelo FIRST, que produz uma pontuação de gravidade de 0–10 para uma vulnerabilidade com base nas suas características de exploração e impacto.
O CVSS classifica vulnerabilidades através de três grupos de métricas: Base (propriedades intrínsecas como vetor de ataque, complexidade, privilégios necessários e impacto CIA), Temporal/Ameaça (maturidade do exploit, remediação) e Ambiente (ajustada à implementação concreta). A pontuação Base, expressa em número e em string de vetor, é o que a maioria das entradas CVE publica. O CVSS v3.1 domina hoje e o v4.0 refina métricas para IoT e gravidade suplementar. As pontuações devem ser combinadas com o contexto de negócio, criticidade do ativo e sinais EPSS ou KEV: um CVSS alto nem sempre é risco real elevado e um baixo pode ser crítico num ambiente específico.
● Exemplos
- 01
CVE-2021-44228 (Log4Shell): CVSS v3.1 Base 10,0 (Crítica).
- 02
CVE-2014-0160 (Heartbleed): CVSS v2 Base 5,0 (Média).
● Perguntas frequentes
O que é CVSS (Common Vulnerability Scoring System)?
Estrutura aberta, mantida pelo FIRST, que produz uma pontuação de gravidade de 0–10 para uma vulnerabilidade com base nas suas características de exploração e impacto. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa CVSS (Common Vulnerability Scoring System)?
Estrutura aberta, mantida pelo FIRST, que produz uma pontuação de gravidade de 0–10 para uma vulnerabilidade com base nas suas características de exploração e impacto.
Como se defender contra CVSS (Common Vulnerability Scoring System)?
As defesas contra CVSS (Common Vulnerability Scoring System) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para CVSS (Common Vulnerability Scoring System)?
Nomes alternativos comuns: Pontuação CVSS.