CVSS: o que é, como funciona e por que não basta para priorizar vulnerabilidades
CVSS: o que é, como funciona e por que não basta para priorizar vulnerabilidades
Por que você precisa entender CVSS, e, principalmente, suas limitações
Se você trabalha com segurança da informação, já encontrou o CVSS score em praticamente todos os relatórios de vulnerabilidade que passou pelas suas mãos. Scanners, advisories de vendors, boletins do NVD: tudo vem acompanhado daquela nota de 0 a 10 que supostamente define a gravidade da falha. Mas o que exatamente esse número significa? Como ele é calculado? E, mais importante: por que confiar apenas nele para decidir o que corrigir primeiro é uma estratégia que coloca sua organização em risco?
Em 2024, o National Vulnerability Database (NVD) registrou mais de 30.000 novas CVEs. Em 2025, o volume se manteve acelerado. Nenhuma equipe de segurança tem capacidade para corrigir tudo, em todos os ativos, no tempo que os SLAs exigem. Quando o critério de priorização e exclusivamente o CVSS score, o resultado é previsível: centenas de vulnerabilidades "críticas" competindo por atenção, times exaustos e, ironicamente, falhas realmente exploradas por atacantes sendo ignoradas porque estavam escondidas no meio do ruido.
Este artigo oferece um guia completo sobre o CVSS: historia, métricas, escala de severidade, como interpretar o vetor e, principalmente, por que a priorização baseada em risco, combinando CVSS com EPSS e CISA KEV, entrega resultados superiores. Ao final, você vai entender como a EcoTrust, Plataforma de IA Agêntica para CTEM, integra essas três camadas nos módulos VulScan e GVul para transformar dados em decisões.
O que é CVSS
Leia também: Como priorizar vulnerabilidades: 8 estratégias baseadas e...
CVSS (Common Vulnerability Scoring System) é um framework aberto e padronizado para avaliar a severidade técnica de vulnerabilidades de segurança. Mantido pelo FIRST (Forum of Incident Response and Security Teams), o CVSS atribui uma nota de 0,0 a 10,0 a cada vulnerabilidade, com base em características objetivas da falha.
O objetivo original do CVSS e responder a pergunta: "Quao grave e essa vulnerabilidade do ponto de vista técnico?" A nota resultante serve como uma linguagem comum entre vendors, pesquisadores de segurança, equipes de SOC e ferramentas de gestão de vulnerabilidades.
O CVSS score aparece em praticamente todos os ecossistemas de segurança: no NVD, em advisories de fornecedores como Microsoft, Red Hat e Cisco, em ferramentas de scan como Nessus, Qualys e OpenVAS, e em plataformas CTEM como a EcoTrust. Quando um advisory diz que uma vulnerabilidade tem CVSS 9.8, significa que a falha possui características técnicas que a tornam extremamente severa, alta capacidade de dano, fácil exploração, sem necessidade de autenticação.
Mas severidade técnica não é a mesma coisa que risco real. Essa distincao é fundamental e será aprofundada ao longo deste artigo.
Historia do CVSS: da v2 a v4.0
Leia também: O que é EPSS e Por Que CVSS Não Basta Para Priorizar Vuln...
O CVSS evoluiu significativamente desde sua criação, refletindo a crescente complexidade do cenário de ameaças.
CVSS v2 (2007)
A versão 2 foi a primeira amplamente adotada pela industria. Introduziu os três grupos de métricas (Base, Temporal e Environmental) e criou a escala de 0 a 10. Apesar de representar um avanco, a v2 sofria de problemas conhecidos: a formula tendia a gerar scores inflados, é a granularidade das métricas era insuficiente para diferenciar vulnerabilidades com perfis de risco distintos.
CVSS v3.0 e v3.1 (2015 / 2019)
A versão 3 trouxe mudanças estruturais importantes. Adicionou o conceito de "Scope" (escopo), que reflete se a exploração de uma vulnerabilidade pode afetar componentes além do componente vulnerável. Também refinou as métricas de impacto e introduziu a diferenciação entre interação do usuário necessária e não necessária. A v3.1 (2019) foi uma revisão incremental, corrigindo ambiguidades na documentação sem alterar a formula de cálculo.
A v3.1 e, até hoje, a versão mais amplamente utilizada. A maioria dos scores que você encontra em ferramentas e advisories segue essa especificação.
CVSS v4.0 (2023)
Lancada em novembro de 2023, a v4.0 representa a maior revisão desde a v3. As principais mudanças incluem:
- Granularidade ampliada nas métricas Base: novos valores para Attack Requirements e refinamento do vetor de ataque.
- Métricas Supplemental: informações adicionais que não afetam o score numérico, mas fornecem contexto (como Automatable, Recovery e Value Density).
- Simplificação da nomenclatura de scores: agora existem CVSS-B (Base), CVSS-BT (Base + Threat), CVSS-BE (Base + Environmental) e CVSS-BTE (Base + Threat + Environmental).
- Integração de Threat Intelligence: a métrica "Temporal" foi renomeada para "Threat" e passou a refletir melhor a existência de exploit ativo.
- Menor compressão de scores altos: a v4.0 tenta resolver o problema histórico de muitas vulnerabilidades receberem notas acima de 9.0, dificultando a priorização.
A adoção da v4.0 ainda está em andamento. Durante um período de transição, é comum encontrar scores em v3.1 e v4.0 coexistindo.
Os três grupos de métricas do CVSS
O CVSS é composto por três grupos de métricas que, juntas, permitem uma avaliação em camadas da vulnerabilidade.
1. Métricas Base (Base Metrics)
As métricas Base avaliam as características intrínsecas da vulnerabilidade, que não mudam ao longo do tempo nem dependem do ambiente. São divididas em dois subgrupos:
Explorabilidade (Exploitability):
| Métrica | Descrição | Valores possíveis |
|---|---|---|
| Attack Vector (AV) | Como o atacante acessa o componente vulnerável | Network, Adjacent, Local, Physical |
| Attack Complexity (AC) | Condições além do controle do atacante necessárias para a exploração | Low, High |
| Privileges Required (PR) | Nível de privilegio necessário para explorar | None, Low, High |
| User Interaction (UI) | Se a exploração exige ação de um usuário | None, Required |
| Scope (S) | Se a exploração afeta componentes além do vulnerável | Unchanged, Changed |
Impacto (Impact):
| Métrica | Descrição | Valores possíveis |
|---|---|---|
| Confidentiality (C) | Impacto na confidencialidade | None, Low, High |
| Integrity (I) | Impacto na integridade | None, Low, High |
| Availability (A) | Impacto na disponibilidade | None, Low, High |
2. Métricas Temporal / Threat (Temporal Metrics)
As métricas Temporal refletem características da vulnerabilidade que podem mudar ao longo do tempo:
| Métrica | Descrição |
|---|---|
| Exploit Code Maturity (E) | Nível de maturidade do código de exploit disponível (Not Defined, Unproven, Proof-of-Concept, Functional, High) |
| Remédiation Level (RL) | Disponibilidade de correção (Not Defined, Official Fix, Temporary Fix, Workaround, Unavailable) |
| Report Confidence (RC) | Confiança na existência e nos detalhes técnicos da vulnerabilidade (Not Defined, Unknown, Reasonable, Confirmed) |
Na v4.0, este grupo foi renomeado para "Threat Metrics" e simplificado.
3. Métricas Environmental (Environmental Metrics)
As métricas Environmental permitem que a organização ajuste o score ao seu contexto específico, modificando os valores Base de acordo com a importância dos ativos afetados. Na prática, poucas organizações preenchem essas métricas, o que significa que a maioria dos scores CVSS usados na priorização reflete apenas as métricas Base, sem considerar o contexto do ambiente.
Como ler um vetor CVSS (vector string)
O vetor CVSS é uma representação textual compacta de todas as métricas que compuseram o score. Saber le-lo permite entender rápidamente o perfil da vulnerabilidade.
Exemplo de vetor CVSS v3.1:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Decodificando:
CVSS:3.1, versão do CVSSAV:N, Attack Vector: Network (acessível pela rede)AC:L, Attack Complexity: Low (sem condições especiais)PR:N, Privileges Required: None (sem autenticação)UI:N, User Interaction: None (sem interação do usuário)S:U, Scope: Unchanged (afeta apenas o componente vulnerável)C:H, Confidentiality Impact: HighI:H, Integrity Impact: HighA:H, Availability Impact: High
Esse vetor específico resulta em um CVSS score de 9.8, classificado como "Crítical". Ele descreve uma vulnerabilidade acessível pela rede, sem qualquer barreira de exploração, com impacto total nas três dimensões de segurança. É o perfil típico de uma RCE (Remote Code Execution) sem autenticação.
Exemplo de vetor CVSS v4.0:
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Note a presença de AT (Attack Requirements), a separação explícita entre impacto no componente vulnerável (VC, VI, VA) e no sistema subsequente (SC, SI, SA).
Escala de severidade CVSS
O CVSS score numérico e mapeado para faixas de severidade qualitativa. Essa tabela é essencial para qualquer analista:
| CVSS Score | Severidade | Descrição prática |
|---|---|---|
| 0.0 | None | Sem impacto identificado |
| 0.1 - 3.9 | Low | Impacto limitado; exploração difícil ou com poucas consequências |
| 4.0 - 6.9 | Medium | Impacto moderado; pode exigir condições específicas para exploração |
| 7.0 - 8.9 | High | Impacto significativo; exploração relativamente acessível |
| 9.0 - 10.0 | Crítical | Impacto severo; exploração fácil e sem barreiras significativas |
Na prática, a maioria das organizações concentra esforços de remediação nas faixas High e Crítical. O problema é que, em um ambiente corporativo típico, essas faixas podem conter milhares de vulnerabilidades, tornando o CVSS score insuficiente como único critério de priorização.
Limitações do CVSS como único critério de priorização
Apesar de ser indispensavel como métrica de severidade, o CVSS apresenta limitações serias quando usado isoladamente para decidir o que corrigir primeiro.
1. Não mede probabilidade de exploração
O CVSS responde "quao grave seria se fosse explorada?", mas não responde "qual a chance de ser explorada?". Uma CVE com CVSS 9.8 pode não ter nenhum exploit público, enquanto uma CVE com CVSS 7.2 pode estar sendo ativamente usada em campanhas de ransomware.
2. Score estático
O CVSS score Base e atribuido uma vez e raramente revisado. O cenário de ameaças muda diariamente: novos exploits surgem, atacantes mudam de alvo, técnicas de exploração evoluem. O score não acompanha essa dinâmica.
3. Compressão de scores altos
Estudos mostram que uma parcela desproporcional de CVEs recebe scores entre 7.0 e 10.0. Quando centenas de vulnerabilidades são classificadas como "Crítical", a capacidade de diferenciação entre elas desaparece. O analista fica sem critério para decidir qual "crítica" corrigir primeiro.
4. Ignora o contexto do ativo
Uma vulnerabilidade crítica em um servidor de homologação isolado tem risco completamente diferente da mesma vulnerabilidade em um servidor de pagamentos exposto a internet. O CVSS Base não faz essa distincao. E, como vimos, poucas organizações preenchem as métricas Environmental.
5. Não considera inteligência de ameaças
O CVSS não incorpora informações sobre a existência de exploit funcional, atividade de grupos de ameaças ou inclusão em catalogos de vulnerabilidades exploradas como o CISA KEV.
CVSS vs EPSS vs CISA KEV: entendendo as diferenças
A priorização eficaz exige combinar múltiplas fontes de informação. A tabela abaixo compara os três frameworks mais relevantes:
| Critério | CVSS | EPSS | CISA KEV |
|---|---|---|---|
| O que mede | Severidade técnica da vulnerabilidade | Probabilidade de exploração nos próximos 30 dias | Confirmação de exploração ativa |
| Tipo de dado | Nota de 0 a 10 | Probabilidade de 0 a 1 (0% a 100%) | Lista binaria (está ou não está no catalogo) |
| Frequência de atualização | Estático (atribuido uma vez) | Diario | Contínuo (novas CVEs adicionadas conforme confirmação) |
| Mantido por | FIRST | FIRST | CISA (Cybersecurity and Infrastructure Security Agency) |
| Pergunta que responde | "Quao severa é a falha?" | "Qual a chance de ser explorada agora?" | "Está sendo explorada em ataques reais?" |
| Limitação principal | Não reflete risco real | Modelo probabilistico (não é certeza) | Cobertura limitada (apenas CVEs confirmadas pelo CISA) |
| Uso ideal | Classificação inicial de severidade | Priorização dinâmica baseada em ameaça | Alerta imediato para vulnerabilidades sob ataque |
EPSS: a probabilidade de exploração
O EPSS (Exploit Prediction Scoring System) é um modelo de machine learning que analisa mais de 1.400 variáveis, incluindo disponibilidade de exploit, mencoes em foruns, telemetria de sensores IDS/IPS e características da CVE, para estimar a probabilidade de exploração nos próximos 30 dias. Diferente do CVSS, o EPSS e atualizado diariamente, acompanhando a evolução do cenário de ameaças.
CISA KEV: a confirmação de ataque real
O catalogo Known Exploited Vulnerabilities (KEV) da CISA lista CVEs que foram confirmadamente exploradas em ataques reais. Se uma CVE está no KEV, não é questão de probabilidade: ela já está sendo usada por atacantes. Organizações governamentais norte-americanas são obrigadas a corrigir CVEs do KEV dentro de prazos específicos, é a prática e cada vez mais adotada pelo setor privado como critério de urgência.
Por que combinar os três
Cada framework cobre uma dimensão diferente do risco:
- CVSS informa a severidade técnica.
- EPSS informa a probabilidade de exploração.
- CISA KEV confirma exploração ativa.
Usar apenas um deles gera pontos cegos. Uma vulnerabilidade com CVSS 6.5 mas EPSS 0.92 e presença no CISA KEV e incomparávelmente mais perigosa do que uma vulnerabilidade com CVSS 9.8, EPSS 0.02 e ausente do KEV. Sem a combinação, o analista priorizaria a segunda, e erraria.
Por que a priorização baseada em risco e superior
A priorização baseada em risco vai além de qualquer métrica individual. Ela combina severidade técnica (CVSS), probabilidade de exploração (EPSS), confirmação de ataque (CISA KEV) e contexto de ativo (criticidade do sistema, exposição a internet, dados processados, regulamentações aplicaveis) para produzir um score de risco unificado.
Essa abordagem resolve os problemas práticos que equipes de segurança enfrentam diariamente:
- Reduz o volume de trabalho sem aumentar o risco: ao focar nos 2% a 5% de vulnerabilidades com probabilidade real de exploração, a equipe corrige menos e protege mais.
- Contextualiza a severidade: uma vulnerabilidade crítica em um ativo de baixa importância pode ter prioridade menor do que uma vulnerabilidade média em um ativo crítico exposto.
- Acompanha a dinâmica das ameaças: scores que mudam diariamente com base em inteligência de ameaças, não scores estáticos definidos uma única vez.
- Traduz risco técnico em risco de negócio: quando combinada com quantificação financeira via CRQ, a priorização baseada em risco permite comunicar ao board em linguagem de impacto monetario.
Como a EcoTrust combina CVSS, EPSS e CISA KEV
A EcoTrust é uma Plataforma de IA Agêntica para CTEM (Continuous Threat Exposure Management) que implementa priorização baseada em risco de forma nativa e automatizada.
VulScan: enriquecimento automático com EPSS + KEV + CVSS
O módulo VulScan da EcoTrust não se limita a reportar o CVSS score de cada vulnerabilidade. Ele enriquece automaticamente cada finding com:
- CVSS score (v3.1 e v4.0, quando disponível)
- EPSS score atualizado diariamente
- Status no catalogo CISA KEV
- Contexto do ativo: criticidade, exposição, ambiente (produção, homologação, desenvolvimento)
Esse enriquecimento acontece de forma automática e contínua, sem exigir intervenção manual do analista. O resultado é que cada vulnerabilidade chega ao painel já acompanhada de todas as informações necessárias para uma decisão de priorização fundamentada.
GVul: priorização baseada em risco além do CVSS
O módulo GVul utiliza os dados enriquecidos pelo VulScan para executar priorização baseada em risco real. Em vez de ordenar vulnerabilidades apenas pelo CVSS score, o GVul considera:
- Severidade técnica (CVSS)
- Probabilidade de exploração (EPSS)
- Exploração confirmada (CISA KEV)
- Criticidade e exposição do ativo
- Impacto potencial no negócio
O resultado é uma lista de priorização que reflete o risco real para a organização, não apenas a gravidade teórica da falha. Vulnerabilidades que realmente colocam a empresa em perigo sobem para o topo; vulnerabilidades "críticas" sem exploit e em ativos de baixa relevância descem para posições adequadas.
CRQ: do risco técnico ao impacto financeiro
Para organizações que precisam comunicar risco ao board em linguagem executiva, o módulo CRQ transforma os dados de priorização em valores financeiros. Quando o CISO apresenta "R$ 3,2 milhões em risco associados a vulnerabilidades com EPSS acima de 0.7 em ativos de produção", a conversa muda completamente de patamar.
Como começar a ir além do CVSS
Se sua organização ainda prioriza vulnerabilidades exclusivamente pelo CVSS score, aqui está um roteiro prático:
- Incorpore o EPSS: adicione o EPSS score aos seus relatórios e dashboards. Filtre vulnerabilidades com EPSS acima de 0.1 (10% de probabilidade de exploração) como primeiro critério de atenção.
- Monitore o CISA KEV: qualquer CVE presente no catalogo KEV deve ser tratada como urgência, independentemente do CVSS score.
- Mapeie a criticidade dos ativos: classifique seus ativos por impacto ao negócio. Uma vulnerabilidade média em um ativo crítico merece mais atenção do que uma vulnerabilidade crítica em um ativo irrelevante.
- Automatize o enriquecimento: ferramentas como o VulScan da EcoTrust fazem esse cruzamento automaticamente, eliminando o trabalho manual é o risco de erro humano.
- Adote CTEM: o modelo Continuous Threat Exposure Management do Gartner preconiza exatamente essa abordagem, priorização contínua, baseada em risco, com inteligência de ameaças integrada.
Quer ver como a priorização baseada em risco funciona na prática? Conheça o VulScan da EcoTrust e veja como CVSS, EPSS e CISA KEV trabalham juntos para que sua equipe corrija o que realmente importa.
Perguntas frequentes sobre CVSS (FAQ)
O que é CVSS score?
CVSS score é a nota numérica de 0,0 a 10,0 gerada pelo Common Vulnerability Scoring System para classificar a severidade técnica de uma vulnerabilidade de segurança. Quanto maior o score, mais severa e a falha do ponto de vista técnico. O CVSS e mantido pelo FIRST e é utilizado globalmente por vendors, pesquisadores e equipes de segurança.
Qual a diferença entre CVSS v3.1 e CVSS v4.0?
A v4.0 trouxe maior granularidade nas métricas Base, renomeou o grupo Temporal para Threat, adicionou métricas Supplemental e reduziu a compressão de scores altos. Na prática, a v4.0 oferece maior precisão para diferenciar vulnerabilidades, mas a v3.1 ainda é a versão mais amplamente utilizada.
CVSS 9.8 significa que a vulnerabilidade será explorada?
Não. O CVSS mede a severidade técnica, não a probabilidade de exploração. Uma CVE com CVSS 9.8 pode nunca ser explorada se não existir exploit público ou se os ativos vulneráveis não estiverem expostos. Para avaliar probabilidade de exploração, use o EPSS score.
O que é melhor para priorizar: CVSS ou EPSS?
Nenhum dos dois isoladamente é suficiente. O CVSS informa a severidade; o EPSS informa a probabilidade de exploração. A melhor abordagem combina CVSS, EPSS e CISA KEV com contexto de ativo para uma priorização baseada em risco real.
Com que frequência o CVSS score muda?
O CVSS Base score é essencialmente estático, atribuido uma vez quando a vulnerabilidade e publicada e raramente revisado. As métricas Temporal podem ser atualizadas conforme novas informações surgem, mas na prática isso acontece com pouca frequência. Essa é uma das razões pelas quais complementar o CVSS com o EPSS (atualizado diariamente) é fundamental.
O que é CISA KEV e como se relaciona com o CVSS?
O CISA KEV (Known Exploited Vulnerabilities) é um catalogo mantido pela CISA que lista CVEs com exploração confirmada em ataques reais. Diferente do CVSS, que mede severidade teórica, e do EPSS, que estima probabilidade, o KEV confirma que a vulnerabilidade está sendo usada por atacantes. CVEs presentes no KEV devem receber atenção imediata, independentemente do CVSS score.
Para aprofundamento, consulte a referência oficial: Gartner — How to Manage Cybersecurity Threats.
Conclusão
O CVSS score é uma ferramenta indispensavel para classificar a severidade técnica de vulnerabilidades. Entender suas métricas, saber interpretar o vetor e conhecer a escala de severidade e parte do trabalho fundamental de qualquer analista de segurança. Mas depender exclusivamente do CVSS para priorizar o que corrigir é uma abordagem que já não acompanha a realidade das ameaças.
A combinação de CVSS (severidade), EPSS (probabilidade de exploração) e CISA KEV (exploração confirmada), enriquecida com contexto de ativo e criticidade de negócio, é o que separa equipes que corrigem muito daquelas que corrigem certo.
A EcoTrust integra todas essas camadas de forma nativa. O VulScan enriquece cada vulnerabilidade automaticamente com CVSS, EPSS e KEV. O GVul transforma esses dados em priorização baseada em risco real. O resultado: menos ruido, mais proteção, decisões melhores.
Agende uma demonstração do GVul e descubra como priorizar vulnerabilidades pelo risco real, não apenas pelo CVSS score.
Conheça o módulo CTEM
Veja como a EcoTrust aplica IA agêntica para resolver os desafios apresentados neste artigo.
Explorar CTEMArtigos Relacionados
As 5 Fases do CTEM: Do Escopo a Mobilização: Guia Prático para Implementar o Ciclo Completo
Se a sua organização ainda trata gestão de exposições como um projeto com início e fim, o resultado é previsível: relatórios que envelhecem antes de serem lidos, *backlogs* de vulnerabilidades que só …
Ameaças Cibernéticas: guia completo com os 12 tipos mais perigosos e como o CTEM protege sua empresa
O volume de ataques cibernéticos a empresas brasileiras cresceu 38% em 2024 segundo o relatório da Check Point Research, e a tendência para 2025-2026 é de aceleração. Ransomware como serviço (RaaS), a…
Automação vs IA Agêntica: Por Que Scripts Fixos Não Bastam Para Segurança
Automação foi, sem duvida, um dos maiores avancos das operações de segurança na última década. Playbooks SOAR, scripts de resposta a incidentes e regras de orquestração tiraram das equipes de SOC uma …