Glossário
O que é CVSS — a pontuação de severidade e como ela é de fato calculada
O CVSS classifica a severidade de uma vulnerabilidade de 0.0 a 10.0, calculada a partir de métricas definidas (vetor de ataque, privilégios, impacto CIA) por uma fórmula pública — não um palpite. O critério de pontuação, a vector string, o que faz um 10.0 e v3.1 vs v4.0.
"CVSS 10.0", "um RCE CVSS 9.8" — os números em toda manchete de vulnerabilidade. Eles não são inventados: vêm de um conjunto definido de métricas e de uma fórmula. Veja como lê-los, do zero.
Primeiro, o guia de pontuação
| Pontuação | Classificação | Sensação |
|---|---|---|
| 9.0 – 10.0 | Crítica | Aja agora; muitas vezes classe de domínio total |
| 7.0 – 8.9 | Alta | Trate em breve |
| 4.0 – 6.9 | Média | Planeje no roadmap |
| 0.1 – 3.9 | Baixa | Fique de olho |
Se um CVE é o nome de uma vulnerabilidade, o CVSS é a sua pontuação de severidade. "Um RCE CVSS 10.0" significa uma execução remota de código da classe mais alta — pior classe.
Existe mesmo um critério
Uma pontuação CVSS é construída a partir de três grupos de métricas. O que é publicado como "CVE-XXXX é 9.8" é quase sempre a pontuação Base.
Base
A vulnerabilidade em si. O valor publicado.
Threat
Ajustada ao longo do tempo pela disponibilidade de exploit.
Environmental
Recalculada para a sua própria configuração e prioridades.
① Explorabilidade
② Impacto
A pontuação Base é, grosso modo, "① quão fácil de explorar" × "② quão grande o impacto". As duas próximas tabelas são essas métricas.
① Explorabilidade (quão facilmente pode ser atacada)
| Métrica | Valores | Pior caso (eleva a pontuação) |
|---|---|---|
| Attack Vector (AV) | Network / Adjacent / Local / Physical | Network (pela internet) é o mais perigoso |
| Attack Complexity (AC) | Low / High | Low (sem condições especiais) é perigoso |
| Privileges Required (PR) | None / Low / High | None (sem login necessário) é perigoso |
| User Interaction (UI) | None / Required | None (a vítima não faz nada) é perigoso |
② Impacto (o que acontece se tiver sucesso)
CIA = os três pilares da segurança: Confidencialidade, Integridade, Disponibilidade.
| Métrica | Valores | "High" significa |
|---|---|---|
| Scope (S) | Unchanged / Changed | Changed = a invasão cruza sua fronteira de privilégio original |
| Confidentiality (C) | High / Low / None | os dados podem ser lidos por completo |
| Integrity (I) | High / Low / None | os dados podem ser alterados livremente |
| Availability (A) | High / Low / None | o serviço pode ser totalmente parado |
'Scope: Changed' é o que empurra a pontuação para cima
Por exemplo, dano confinado dentro de um contêiner (Unchanged) versus dano que se espalha dali para o host ou outros serviços (Changed). Se ele "cruza a caixa" move muito a pontuação para condições no mais idênticas.
A vector string: a "receita" da pontuação em uma linha
Toda pontuação CVSS vem com uma vector string — um registro de quais métricas foram escolhidas, ou seja, o motivo do número.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H → 10.0 (Critical)Detalhada, tudo está no "mais perigoso":
| Segmento | Significado | Neste exemplo |
|---|---|---|
AV:N | Attack Vector = Network | atingida pela internet |
AC:L | Attack Complexity = Low | fácil de concretizar |
PR:N | Privileges Required = None | sem autenticação |
UI:N | User Interaction = None | sem ação da vítima |
S:C | Scope = Changed | cruza a fronteira |
C:H / I:H / A:H | CIA = tudo High | lido, escrito e parado |
O que separa um 10.0 de um 9.8
Mude o Scope para "Unchanged" (S:U) naquele exemplo e as mesmas condições pontuam 9.8. Se ele cruza a fronteira (S:C) é o que alcança o máximo 10.0. Então 9.8 vs 10.0 = "ambos pior classe, mas o raio de impacto difere em um nível".
v3.1 vs v4.0: ambos em circulação agora
A versão atual é a v4.0 (2023), mas a maioria dos CVEs ainda é pontuada com a v3.1 (2019), então as duas coexistem por enquanto.
| CVSS v3.1 | CVSS v4.0 | |
|---|---|---|
| Lançada | 2019 | 2023 |
| Notação | pontuação + vetor | CVSS-B / BT / BE / BTE, propósito explícito |
| User Interaction | None / Required (2) | None / Passive / Active (3) |
| Scope | Scope(S), uma métrica | separa o impacto no "sistema vulnerável" e no "sistema subsequente" |
| Extras | nenhum | adiciona métricas suplementares (automatizável, recuperação, segurança…) |
Não seja governado só pela pontuação
O critério torna o CVSS poderoso. Mas a pontuação é um valor teórico de pior caso. Na prática, multiplique-a por dois fatores.
Verifique se está sendo explorada (KEV)
Vulnerabilidades observadas sob ataque real (KEV — Known Exploited Vulnerabilities) são prioridade máxima, independentemente da pontuação. "Estar sob tiro agora" supera o número teórico.
Verifique se você usa o recurso afetado
Um CVSS 10.0 tem pouco impacto real se você não usa o componente; uma pontuação média é prioridade máxima se você a atinge em produção. Julgue pela versão de fato em execução.
Um CVSS 10.0 público descartado como "não é problema meu" levou a um incidente de cobrança fraudulenta. Uma pontuação nunca é motivo para negligenciar. → O CVSS 10.0 negligenciado
Leia a seguir
- Glossário: O que é um CVE · O que é RCE
- Defesa: Incorpore CVE/CVSS ao seu fluxo de trabalho
FAQ
QO CVSS tem um critério de pontuação real ou é um palpite?
Ele tem um critério definido. Você seleciona métricas — vetor de ataque (AV), complexidade do ataque (AC), privilégios necessários (PR), interação do usuário (UI), escopo (S) e confidencialidade/integridade/disponibilidade (CIA) — e as passa por uma fórmula pública para obter 0.0–10.0. É projetado para ser reproduzível: as mesmas entradas dão a mesma pontuação.
QQuem atribui a pontuação?
O padrão é mantido pelo FIRST. As pontuações de CVEs individuais são atribuídas pelo NVD (NIST) ou por fabricantes seguindo o critério. A mesma vulnerabilidade pode ser pontuada de forma ligeiramente diferente por avaliadores diferentes.
QA partir de qual pontuação é perigoso?
Como guia: 9.0–10.0 Crítica, 7.0–8.9 Alta, 4.0–6.9 Média, 0.1–3.9 Baixa. Mas a pontuação é um valor teórico de pior caso — verifique também se ela realmente se aplica à sua configuração.
QUm CVSS alto deve ser sempre corrigido primeiro?
Geralmente sim, mas mais importante é se ela está sendo ativamente explorada (KEV) e se você usa o recurso afetado. Um 10.0 que você não usa pode ter impacto zero; uma pontuação média sob exploração ativa é prioridade máxima.