Common Vulnerability Scoring System

Este artigo foi inicialmente traduzido, total ou parcialmente, do artigo da Wikipédia em inglês cujo título é «Common Vulnerability Scoring System», especificamente desta versão.

O Common Vulnerability Scoring System ( CVSS ) é uma estrutura aberta para classificar a gravidade das vulnerabilidades de segurança em sistemas informáticos. As pontuações são calculadas com base numa fórmula com várias métricas que estimam a facilidade e o impacto de uma exploração. Atribui pontuações que variam de 0 a 10, sendo 10 a mais grave. Embora muitos usem apenas a pontuação base do CVSS para determinar a gravidade, também existem pontuações temporais e ambientais, para levar em consideração, respetivamente, a disponibilidade de mitigações e a extensão da disseminação de sistemas vulneráveis dentro de uma organização. ^[1]

A versão atual do CVSS (CVSSv4.0) foi lançada em novembro de 2023. ^[2]

O CVSS não foi concebido para ser usado como um método de priorização do gerenciamento de patches, mas continua a ser usado dessa forma.^[3] Uma abordagem mais eficaz é integrar o CVSS com modelos preditivos como o Exploit Prediction Scoring System (EPSS), que ajuda a priorizar os esforços de remediação com base na probabilidade de exploração no mundo real.^[4]

Referências

↑ «CVSS v4.0 Specification Document». FIRST — Forum of Incident Response and Security Teams (em inglês). Consultado em 22 de janeiro de 2026
↑ «FIRST has officially published the latest version of the Common Vulnerability Scoring System (CVSS v4.0)». FIRST. Cópia arquivada em 1 de novembro de 2023
↑ Spring, J.M.; Hatleback, E.; Householder, A.; Manion, A.; Shick, D. (December 2018). «TOWARDS IMPROVING CVSS» (PDF). Carnegie Mellon University. Consultado em 22 de janeiro de 2026 Verifique data em: |data= (ajuda)
↑ Jacobs, Jay; Romanosky, Sasha; Suciu, Octavian; Edwards, Benjamin; Sarabi, Armin (15 de junho de 2023), Enhancing Vulnerability Prioritization: Data-Driven Exploit Predictions with Community-Driven Insights, doi:10.48550/arXiv.2302.14172, consultado em 22 de janeiro de 2026

[1] «CVSS v4.0 Specification Document». FIRST — Forum of Incident Response and Security Teams (em inglês). Consultado em 22 de janeiro de 2026

[cvss4.0-2] «FIRST has officially published the latest version of the Common Vulnerability Scoring System (CVSS v4.0)». FIRST. Cópia arquivada em 1 de novembro de 2023

[3] Spring, J.M.; Hatleback, E.; Householder, A.; Manion, A.; Shick, D. (December 2018). «TOWARDS IMPROVING CVSS» (PDF). Carnegie Mellon University. Consultado em 22 de janeiro de 2026 Verifique data em: |data= (ajuda)

[4] Jacobs, Jay; Romanosky, Sasha; Suciu, Octavian; Edwards, Benjamin; Sarabi, Armin (15 de junho de 2023), Enhancing Vulnerability Prioritization: Data-Driven Exploit Predictions with Community-Driven Insights, doi:10.48550/arXiv.2302.14172, consultado em 22 de janeiro de 2026

[1]

[2]

[3]

[4]