Common Vulnerability Scoring System (CVSS)

Você enfrenta muitas vulnerabilidades para corrigir todas elas. 

O NIST informou recentemente que, em 2024, recebeu 32% mais envios de vulnerabilidades do que no ano anterior, uma tendência cuja expectativa é continuar ao longo de 2025. 

As vulnerabilidades e exposições comuns (CVEs) aumentaram de forma semelhante (20%) em 2024. E, até o final de maio de 2025, havia mais de 280 mil CVEs no banco de dados nacional de CVEs.

Com números surpreendentes como esses, suas equipes não conseguem abordar todas as vulnerabilidades — e nem precisam. 

Você realmente precisa de uma maneira de focar no que é mais importante. 

Aqui entra o CVSS.

O Common Vulnerability Scoring System (CVSS) avalia a severidade técnica de uma vulnerabilidade.

Mantido pela FIRST, o CVSS atribui a cada vulnerabilidade uma pontuação entre 0,0 e 10,0 usando uma combinação de métricas de exploração e impacto. Essas pontuações ajudam as equipes a priorizar e comunicar os riscos.

A pontuação do CVSS está incorporada na maioria dos verificadores de vulnerabilidades, consultorias de ameaças e workflows de gerenciamento de patches. Ela oferece às equipes de segurança um método consistente para comparar vulnerabilidades entre sistemas e fornecedores. 

Ainda assim, embora o CVSS seja fundamental, ele está longe de ser suficiente por si só.

O CVSS não informa o que realmente pode ser explorado no seu ambiente. Ele não leva em conta o risco ao negócio e não se adapta ao comportamento do invasor. 

Por isso, a Tenable usa o CVSS como ponto de partida, mas depois o desenvolve com um Vulnerability Priority Rating (VPR), sinais de ameaça em tempo real, contexto de identidade na nuvem e pontuação unificada por meio do Tenable One.

Vamos detalhar como o CVSS funciona, onde ele deixa a desejar e como usá-lo em uma abordagem mais inteligente baseada em riscos para o gerenciamento de vulnerabilidades.

A pontuação do CVSS usa uma fórmula padronizada de métricas: de base, temporal e ambiental.

Métricas de base

Características inerentes à vulnerabilidade:

• Vetor de ataque (AV)
  • Um invasor pode explorar a vulnerabilidade em uma rede, local ou fisicamente? 
  • Falhas remotas (AV: N) têm uma pontuação maior.
• Complexidade do ataque (AC)
  • A exploração exige configurações incomuns, tempo preciso ou estados atípicos do sistema?
• Privilégios necessários (PR)
  • De que nível de acesso o invasor precisa para explorar a vulnerabilidade?
• Interação com o usuário (UI)
  • O ataque exige que o usuário clique em um link, abra um arquivo ou execute outras ações?
• Escopo (S)
  • A vulnerabilidade afeta apenas o componente ou também outras partes do sistema?
• Impacto (CIA)
  • Mede a confidencialidade, a integridade e a perda de disponibilidade.

Métricas temporais

Ajustam a pontuação com base no cenário de exploração atual:

• Maturidade do código de exploração
  • Existe um código de exploração público?
• Nível de correção
  • Há um patch disponível?
• Confiança do relatório
  • Até que ponto a vulnerabilidade é verificada?

Métricas ambientais

Ajudam você a modificar as pontuações com base no seu ambiente:

• Requisitos de segurança
  • Qual é a importância da confidencialidade, da integridade e da disponibilidade para sua empresa?
• Métricas de base modificadas
  • Use-as quando controles ou mitigações reduzem a severidade.

Faixas de severidade

A pontuação do CVSS tem estas faixas de severidade:

• Nenhuma (0,0)
• Baixa (0,1–3,9)
• Média (4,0–6,9)
• Alta (7,0–8,9)
• Crítica (9,0–10,0)

Quer ver como o CVSS encaixa-se em um programa moderno de gerenciamento de vulnerabilidades? Explore o Tenable Vulnerability Management para ver como ele combina a pontuação estática com a priorização pronta para automação.

O CVSS oferece uma linguagem compartilhada para descrever a severidade. Ele ajuda as equipes de segurança a fazer a triagem, as equipes de infraestrutura a priorizar e os executivos a entender o que é crítico — teoricamente.

Quando todos trabalham com a mesma pontuação, é possível:

• Automatizar os limites de aplicação de patches;
• Definir acordos de nível de serviço (SLAs) com base em níveis de severidade;
• Padronizar painéis e relatórios;
• Alinhar as equipes de correção nas definições comuns de risco.

Mas severidade não é risco. O CVSS não informa:

• Se um invasor pode explorar uma vulnerabilidade no seu ambiente;
• Se isso afeta seus ativos mais confidenciais;
• Se os invasores os estão usando ativamente.

Aqui, o Vulnerability Priority Rating muda o jogo.

Se o CVSS informa o quão grave uma vulnerabilidade pode ser, a priorização baseada em riscos indica o que deve ser corrigido primeiro. Essa distinção é fundamental.

A Tenable usa o CVSS como linha de base e, em seguida, coloca o VPR em camadas para ajudar você a entender:

• Os invasores estão explorando essa vulnerabilidade no mundo real?
• Ele expõe sistemas críticos para o negócio?
• É possível acessá-lo pelo lado de fora?
• Um agente de ameaças pode usá-lo como parte de um escalonamento de privilégios ou de uma via de movimento lateral?

O VPR da Tenable inclui:

• Disponibilidade de exploração e a atividade de fontes do mundo real;
• Threat intel e mapeamento do comportamento do invasor;
• Criticidade dos ativos com base na importância do negócio;
• Vias de exposição, incluindo uso indevido de identidade e risco de configuração da nuvem;
• Exemplo: 
  • O CVSS diz que a pontuação de uma vulnerabilidade é 9,8. Usando apenas a pontuação do CVSS, você acharia necessário abordar a vulnerabilidade imediatamente. 
  • A diferença do VPR: o VPR mostra que a vulnerabilidade afeta um servidor de teste interno sem dados de usuários, limitando o impacto de uma exploração. De repente, uma vulnerabilidade com CVSS de 9,8 não parece tão urgente.
  • Enquanto isso, o VPR sinaliza uma vulnerabilidade com um CVSS mais baixo mas, como ela está em uma workload voltada para o público, vinculada a registros de clientes, e os agentes de ameaças estão fazendo uma verificação ativa, ela tem prioridade sobre a vulnerabilidade com o CVSS mais alto.

Esse é o valor dos métodos de priorização e pontuação baseados em riscos e o motivo pelo qual você não deve usar o CVSS isoladamente.

Saiba melhor como o Vulnerability Priority Rating (VPR) da Tenable baseia-se no CVSS para levar em consideração a explorabilidade, o comportamento do invasor e a importância do ativo.

Em ambientes de nuvem modernos, o CVSS pode provocar enganos perigosos sozinho. 

Os ativos de nuvem são dinâmicos. As workloads aumentam e diminuem a cada minuto. Um contêiner que desaparece em 10 minutos não apresenta o mesmo risco que um servidor de banco de dados persistente.

As vias de ataque dependem da identidade. Uma vulnerabilidade de severidade média em um ativo associado a uma função de altos privilégios pode ser mais perigosa do que um problema de alta severidade em um endpoint isolado.

As configurações incorretas ampliam a exposição, especialmente na nuvem.

O CVSS não leva em conta:

• Configurações específicas da nuvem;
• Identidades muito expostas;
• Alcance da rede e movimento lateral;
• Ativos efêmeros que expõem temporariamente dados de alto valor.

É nesse ponto que o Tenable Cloud Security agrega um contexto essencial. Ele integra a pontuação do CVSS com a postura da nuvem em tempo real para que você possa:

• Ver quais vulnerabilidades têm exposições externas;
• Entender quais identidades podem acessá-las;
• Detectar riscos encadeados na infraestrutura local e na nuvem.

O CVSS diz: "Esta é uma falha crítica".

A Tenable diz: "Esta é uma falha crítica exposta publicamente e passível de exploração, que está vinculada a credenciais de administrador".

Esse é o que deve ser corrigido primeiro.

O Tenable Cloud Security liga os pontos entre o CVSS, as configurações incorretas da nuvem e o risco de IAM. Proteja sua superfície de ataque na nuvem com contexto contínuo.

O CVSS é apenas uma peça do quebra-cabeças da priorização de vulnerabilidades. Vamos dar uma olhada em como ele se compara a outros modelos comuns.

Exploit Prediction Scoring System (EPSS)

O EPSS estima a probabilidade de um invasor explorar uma vulnerabilidade nos próximos 30 dias. É algo probabilístico, não baseado na severidade.

• O que ele acrescenta: comportamento do invasor e modelagem estatística;
• O que falta nele: não reflete o impacto ao negócio, nem o contexto ambiental;
• Como funciona com o CVSS: combine-os. O CVSS informa a severidade; o EPSS informa a probabilidade.

Uma vulnerabilidade de CVSS 6,8 e probabilidade do EPSS de 94% provavelmente é mais urgente do que uma 9,8 nunca explorada por nenhum invasor.

Common Vulnerabilities and Exposures (CVEs)

Uma CVE é um identificador, não uma pontuação. Ele ajuda você a monitorar uma vulnerabilidade específica em ferramentas, fornecedores e alertas.

• O que ele acrescenta: rastreamento e documentação consistentes;
• O que falta nele: não fala nada sobre o risco;
• Como funciona com o CVSS: emparelhe a CVE (objeto) com o CVSS (severidade).

Classificação de risco do OWASP

Usado principalmente na segurança de aplicações, o modelo do OWASP é mais manual e subjetivo. Ele avalia a capacidade de detecção, a facilidade de exploração e o impacto, o que é ótimo para modelagem, mas não para priorização em larga escala.

Então, qual você deve usar?

O contexto de CVSS + VPR + EPSS + ativos oferece a você uma visão mais completa dos riscos. 

O Tenable One usa esse modelo, integrando severidade, probabilidade, impacto ao negócio e exposição em uma visão única e priorizada.

O gerenciamento de vulnerabilidades começa com a identificação, mas não para por aí. 

Quando a ferramenta de verificação encontra uma vulnerabilidade, você precisa de uma forma de avaliar a severidade e priorizar a resposta. 

Aqui, a pontuação de vulnerabilidades desempenha um papel central.

O CVSS é, há muito tempo, o alicerce da pontuação de vulnerabilidades. Ele oferece às suas equipes uma forma consistente de atribuir níveis de severidade com base na explorabilidade e no impacto. Ele alimenta painéis, SLAs de aplicação de patches, regras de escalonamento e planos de correção.

Mas o gerenciamento de vulnerabilidades moderno exige mais do que severidade técnica:

• Você precisa saber se os invasores estão explorando a vulnerabilidade no mundo real.
• Você precisa determinar se isso afeta sistemas críticos para o negócio ou expõe dados confidenciais.
• Você precisa alinhar a correção com o risco do mundo real, não com as pontuações teóricas.

Por isso, a Tenable integra o CVSS em uma abordagem mais ampla de gerenciamento de vulnerabilidades baseado em riscos. 

Ao combinar o CVSS com o VPR e estender a pontuação com o Tenable One, você pode parar de perseguir números altos de CVSS e passar a agir de acordo com o que pode ser explorado, exposto e relevante.

A pontuação de vulnerabilidades é fundamental, mas agora faz parte de um sistema dinâmico que se adapta ao comportamento do invasor e às necessidades do negócio.

A pontuação de vulnerabilidades é útil mas, sem entender como essas vulnerabilidades contribuem para a sua exposição, você resolve apenas parte do problema.

O gerenciamento de exposição analisa todos os seus riscos evitáveis (vulnerabilidades, configurações incorretas, excesso de permissões) juntos para identificar as vias de ataque que os agentes de ameaças podem explorar para causar o pior dano, seja na forma de interrupção do negócio ou extração de dados confidenciais.

O gerenciamento de exposição também identifica e reduz as condições que enfraquecem sua postura de segurança. Essas condições incluem vulnerabilidades e:

• Serviços de nuvem mal configurados;
• Identidades com excesso de permissões;
• Ativos externos desprotegidos;
• Portas abertas, certificados expirados, APIs esquecidas.

Nesse contexto, a pontuação do CVSS fornece a severidade da linha de base de uma vulnerabilidade, mas a Tenable vai além, integrando a pontuação em uma estrutura mais ampla de gerenciamento de exposição contínuo. 

Aqui, o Tenable One liga os pontos entre os riscos de vulnerabilidades e a exposição no mundo real.

Como é isso?

• Uma vulnerabilidade 5,5 do CVSS pode ser ignorada isoladamente mas, se estiver vinculada a um sistema voltado à Internet com controles de IAM fracos, o Tenable One a sinaliza como alto risco;
• Por outro lado, um CVSS 9,8 pode não criar uma exposição relevante para a organização e, assim, você pode despriorizá-lo, a menos que o contexto da ameaça mude.

Essa integração da pontuação com a intel de exposição ajuda você a:

• Focar a correção nas vulnerabilidades que criam vias de ataque de alto risco;
• Visualizar como as falhas técnicas cruzam-se com o risco de identidade e a postura da rede;
• Calcular e comunicar as reduções no risco real da superfície de ataque, em vez de comunicar as pontuações do CVSS.

Quando a pontuação faz parte do gerenciamento de exposição, ela deixa de ser um número e passa a ser um sinal que impulsiona a ação.

Muitas estruturas de conformidade baseiam-se no CVSS para definir e aplicar requisitos de gerenciamento de vulnerabilidades, mas a forma como os órgãos regulatórios o aplicam varia.

Exemplos do CVSS em conformidade:

• O PCI DSS v4.0 exige a correção de vulnerabilidades com pontuação do CVSS de 7,0 ou mais em um cronograma definido.
• A HIPAA não exige resposta a vulnerabilidades com uma pontuação do CVSS específica em um cronograma específico, mas avaliações de risco usando o CVSS são amplamente aceitas como parte do programa de segurança de uma entidade coberta.
• O NIST 800-53 e o NIST Cybersecurity Framework mapeiam os controles para limites baseados no CVSS para rastreamento de vulnerabilidades e resposta de correção.
• A ISO/IEC 27001 reconhece o CVSS como uma ferramenta para avaliação de riscos no Anexo A.12.6.1 (gerenciamento de vulnerabilidades técnicas).

Os auditores usam o CVSS para:

• Verificar se você fez a triagem das vulnerabilidades e tomou medidas com base nos limites definidos;
• Confirmar se há SLAs em vigor para pontuações altas/críticas;
• Conferir se você cumpre e acompanha os cronogramas de correção;
• Dar suporte à documentação de controles compensatórios ou de aceitação de riscos para questões não resolvidas.

Exemplo: Uma auditoria trimestral pode exigir evidências de que você corrigiu a maioria das vulnerabilidades com CVSS 7.0+ em 30 dias — ou aceitará formalmente o risco.

Ao colocar o CVSS em camadas com os sinais de criticidade e explorabilidade de ativos no Tenable One, você também pode justificar exceções baseadas em riscos que atendam à intenção de conformidade, mesmo quando uma correção perfeita não for possível.

O CVSS permite defender a conformidade. A Tenable a torna prática.

Embora muitas organizações empreguem o CVSS, usá-lo de forma eficaz é um desafio. Isso vale especialmente para grandes empresas com superfícies de ataque complexas e várias equipes de TI, segurança e conformidade. 

Porém, mesmo as organizações menores costumam enfrentar problemas semelhantes.

Veja a seguir cinco desafios comuns de implementação do CVSS e formas de superá-los:

1. Inconsistências de pontuação entre ferramentas

Problema: diferentes verificadores podem atribuir diferentes vetores ou pontuações do CVSS para a mesma vulnerabilidade, fazendo com que as equipes fiquem confusas sobre em qual pontuação confiar.

Solução: normalize a pontuação no seu ambiente usando um único feed confiável (ex.: o National Vulnerability Database (NVD)) e valide as cadeias de vetores. O modelo de dados unificado usado pela Tenable evita discrepâncias ao consolidar as descobertas entre ferramentas e ambientes.

2. Excesso de confiança no CVSS para priorização

Problema: o CVSS é uma medida de severidade, não de explorabilidade, alcance ou impacto ao negócio. As equipes que apenas corrigem vulnerabilidades com altas pontuações do CVSS muitas vezes deixam de perceber o risco real.

Solução: use sinais de risco dinâmicos do Tenable One, como VPR, dados de exploração e criticidade de ativos. Combine o CVSS com o contexto de probabilidade e exposição para focar no que realmente importa.

3. Métricas ambientais negligenciadas

Problema: muitas organizações não personalizam o CVSS para refletir suas próprias prioridades de segurança, o que resulta em uma priorização imprecisa.

Solução: estabelecer políticas para pontuação do ambiente. Por exemplo, se a disponibilidade for crítica para a missão (ex.: no setor de saúde), aumente o peso dela na sua fórmula personalizada do CVSS. A Tenable permite que você automatize os ajustes de pontuação.

4. Equipes isoladas e ferramentas fragmentadas

Problema: sem visibilidade ou lógica de pontuação compartilhada, as equipes de segurança, infraestrutura e conformidade atuam em silos. A priorização é subjetiva ou duplicada.

Solução: centralize a visibilidade por meio do Tenable One. Ele fornece painéis e alertas que incorporam o CVSS, mas vão além, com sinais sobre os quais todas as equipes podem agir: exposição da nuvem, vias de acesso a identidades, risco de movimento lateral etc.

5. O escalonamento do CVSS requer contexto

Em ambientes corporativos, o CVSS é muito eficaz quando combinado com:

• Threat intel e previsão de exploração;
• IA e análise para reduzir falsos positivos;
• Pontuação de impacto ao negócio;
• Contexto de nuvem e valor de ativos em tempo real.

A Tenable oferece tudo isso, transformando a pontuação estática em um mecanismo de priorização dinâmico e baseado em riscos.

O Tenable One combina a base fornecida pelo CVSS com sinais do mundo real, intel de ativos e contexto de negócio, criando um modelo de pontuação unificado, projetado para priorizar o que realmente importa para a organização.

Por que as pontuações do CVSS estáticas são insuficientes:

• Tratam todos os ambientes da mesma forma;
• Não sabem quais sistemas são voltados ao público;
• Não consideram se os invasores estão explorando uma vulnerabilidade ativamente;
• Não levam em consideração o valor dos ativos, os níveis de privilégio e as vias de ataque.

O CVSS diz: "Isso é tecnicamente grave."

Tenable One pergunta: "Isso é tecnicamente grave, passível de exploração, está exposto e é crítico para o negócio neste exato momento?"

A pontuação do Tenable One inclui:

Exemplo de pontuação: priorização em ação

Digamos que você detecte 120 vulnerabilidades no seu ambiente da AWS:

• 45 têm pontuação do CVSS entre 7,0 e 9,8;
• O Tenable One sinaliza 22 como de alto risco com base em sinais do mundo real;
• Apenas 7 fazem interseção com suas workloads mais confidenciais ou identidades de nuvem expostas.

O Tenable One ajuda você a:

• Focar nos sete fatores que realmente criam riscos;
• Reduzir a fadiga de alertas e o acúmulo de patches;
• Alinhar a correção com o que realmente interessa à equipe executiva: perda de faturamento e prejuízo à reputação.

O Tenable One não substitui o CVSS, mas o aprimora, viabilizando decisões com contexto, não só com pontuações.

Pronto para ir além da pontuação estática? Unifique sua visão com o Tenable One e priorize com base na exposição, na explorabilidade e no impacto ao negócio.

O que é uma pontuação do CVSS?

A pontuação do CVSS é uma classificação numérica de 0,0 a 10,0 que reflete a severidade técnica de uma vulnerabilidade de software com base em métricas padronizadas.

CVSS é a mesma coisa que risco?

Não. O CVSS mostra a severidade, não a probabilidade ou o impacto ao negócio. O risco depende da explorabilidade, da exposição e do contexto.

Qual é a diferença entre CVSS e EPSS?

O CVSS mede a severidade de uma vulnerabilidade. O EPSS estima a probabilidade de um agente de ameaças explorá-la nos próximos 30 dias. Use ambos para uma melhor priorização.

Posso personalizar as pontuações do CVSS?

Sim. É possível aplicar métricas ambientais para ajustar a importância e os controles de compensação específicos do seu ambiente.

A pontuação do CVSS difere entre as ferramentas?

É possível. A interpretação do vetor do CVSS é subjetiva. Sempre analise a cadeia de vetores completa, não só a pontuação numérica.

O CVSS é aceito em auditorias de conformidade?

Sim. A pontuação do CVSS é reconhecida pelo PCI DSS, pelo NIST, pela ISO 27001 e muitas outras estruturas. As equipes costumam usá-lo para definir SLAs de patches e limites de risco.

Posso usar o CVSS nos workflows de DevSecOps?

Certamente. Você pode usar o CVSS nos pipelines de CI/CD para bloquear compilações, acionar correções automatizadas ou aplicar SLAs.

Qual é a versão mais recente do CVSS?

A FIRST lançou o CVSS v4.0 em 2023, oferecendo mais detalhamento e suporte à automação. Hoje, as organizações ainda usam amplamente o CVSS v3.1.

Onde posso calcular uma pontuação do CVSS?

Use a calculadora oficial do CVSS para inserir os valores básicos, temporais e ambientais.

O que é uma avaliação do CVSS?

Uma avaliação do CVSS é o processo de aplicação das métricas do CVSS a uma vulnerabilidade conhecida para calcular sua pontuação de severidade, que pode ser usada para fins de triagem ou conformidade.

O que é certificação do CVSS?

Não existe uma certificação formal do CVSS, mas muitas certificações e cursos de segurança (ex.: Certified Information Systems Security Professional — CISSP) podem incluir a pontuação do CVSS como parte do treinamento de análise de vulnerabilidades.

O que é teste do CVSS?

Um teste do CVSS geralmente envolve testar como as equipes pontuam ou confirmam uma vulnerabilidade. Isso também pode envolver o uso de uma calculadora do CVSS para simular o possível impacto.

O que é uma vulnerabilidade do CVSS?

Uma vulnerabilidade do CVSS é uma vulnerabilidade divulgada publicamente, analisada e pontuada usando a estrutura do CVSS, normalmente com um ID de CVE.

CVE vs. CVSS: qual é a diferença?

Uma CVE é um identificador que rastreia uma vulnerabilidade específica. CVSS é o sistema de pontuação que classifica sua severidade.

O CVSS é um ponto de partida essencial, mas não a resposta final.

Ele oferece uma maneira de medir a severidade da vulnerabilidade de forma consistente em todos os sistemas, de uma forma que todos entendam, independentemente do conhecimento técnico.

No entanto, as superfícies de ataque atuais, que abrangem nuvem, identidade, OT e ativos efêmeros, exigem um modelo de pontuação adaptável que veja a exposição, não apenas o impacto teórico, que priorize com base no risco ao negócio, não em um número em uma escala. 

É isso que o Tenable One oferece.

O CVSS indica o quão grave pode ser. O Tenable One indica o que deve ser corrigido primeiro.