Glossary
CVSS (Sistema Comum de Pontuação de Vulnerabilidade)
Um sistema de pontuação padronizado que classifica a severidade de vulnerabilidades de software em uma escala de 0-10, usado para priorização.
Definição
CVSS (Sistema Comum de Pontuação de Vulnerabilidade) é um método padronizado para avaliar a severidade de vulnerabilidades de software, com scores variando de 0.0 (mais baixo) a 10.0 (mais alto).
CVSS é amplamente utilizado em gerenciamento de vulnerabilidades para priorizar esforços de patching.
Avaliações CVSS
- 0.0 – Sem vulnerabilidade
- 0.1-3.9 – Baixo
- 4.0-6.9 – Médio
- 7.0-8.9 – Alto
- 9.0-10.0 – Crítico
Cálculo CVSS
Score CVSS é baseado em múltiplos fatores:
Métricas Base (não mudam ao longo do tempo)
- Vetor de Ataque – Rede, Local, Física, Adjacente
- Complexidade de Ataque – Baixa, Alta
- Privilégios Necessários – Nenhum, Baixo, Alto
- Interação do Usuário – Nenhuma, Necessária
- Escopo – Inalterado, Alterado
- Confidencialidade – Nenhuma, Baixa, Alta
- Integridade – Nenhuma, Baixa, Alta
- Disponibilidade – Nenhuma, Baixa, Alta
Métricas Temporais (mudam ao longo do tempo)
- Maturidade de Exploit – Não provado, Proof-of-concept, Funcional, Alto, Funcional
- Nível de Remediação – Indisponível, Workaround, Fix Temporário, Fix Oficial, Indisponível
- Confiança de Relatório – Desconhecida, Razoável, Confirmada
Métricas Ambientais (específicas para a organização)
- Requisito de Confidencialidade – Baixo, Médio, Alto
- Requisito de Integridade – Baixo, Médio, Alto
- Requisito de Disponibilidade – Baixo, Médio, Alto
Limitações do CVSS
CVSS avalia severidade técnica mas não considera:
- Se a vulnerabilidade está sendo realmente explorada
- Impacto nos negócios do comprometimento
- Criticidade do ativo
- Interesse de ator de ameaça na vulnerabilidade
Uma vulnerabilidade crítica CVSS 10 em software de nicho pode ser menos urgente do que uma vulnerabilidade CVSS 6 médio em software amplamente utilizado que está sendo ativamente explorado.