Calculadora CVSS 3.1 e 4.0 Online

Vector String

Impact -

Exploitability -

Exemplos de CVEs reais

Metricas Base

Avaliam caracteristicas intrinsecas da vulnerabilidade que nao mudam com o tempo nem com o ambiente.

Attack Vector (AV)

Contexto pelo qual a exploracao e possivel.

Attack Complexity (AC)

Condicoes alem do controle do atacante necessarias para a exploracao.

Privileges Required (PR)

Nivel de privilegios que o atacante precisa antes do ataque.

User Interaction (UI)

Necessidade de participacao de outro usuario para explorar.

Scope (S)

Se a exploracao impacta recursos alem do componente vulneravel.

Confidentiality (C)

Impacto na confidencialidade das informacoes.

Integrity (I)

Impacto na integridade das informacoes.

Availability (A)

Impacto na disponibilidade do sistema/servico.

Metricas Temporais (opcional)

Temporal: -

Refletem caracteristicas que mudam ao longo do tempo: maturidade do exploit, nivel de remediacao disponivel e confianca na fonte do report.

Exploit Code Maturity (E)

Maturidade do codigo de exploit disponivel.

Remediation Level (RL)

Nivel de remediacao disponivel.

Report Confidence (RC)

Confianca na existencia da vulnerabilidade.

Vector String

Macrovector------

Sobre o CVSS 4.0

Esta calculadora implementa o algoritmo de macrovector + lookup table do CVSS 4.0 conforme especificacao publica do FIRST.org. Pequenas variacoes no score podem ocorrer entre implementacoes. Para uso em relatorios oficiais, comunicacoes regulatorias ou casos criticos, sempre valide com a calculadora oficial do FIRST.org, que e a fonte autoritativa.

Metricas Base

Attack Vector (AV)

Contexto de exploracao da vulnerabilidade.

Attack Complexity (AC)

Condicoes alem do controle do atacante.

Attack Requirements (AT)

Pre-requisitos do alvo para que o ataque funcione (novo no 4.0).

Privileges Required (PR)

Privilegios necessarios para o ataque.

User Interaction (UI)

Tipo de participacao do usuario (Passive ou Active no 4.0).

Vulnerable System Confidentiality (VC)

Impacto na confidencialidade do sistema vulneravel.

Vulnerable System Integrity (VI)

Impacto na integridade do sistema vulneravel.

Vulnerable System Availability (VA)

Impacto na disponibilidade do sistema vulneravel.

Subsequent System Confidentiality (SC)

Impacto em sistemas subsequentes (substitui Scope).

Subsequent System Integrity (SI)

Impacto na integridade de sistemas subsequentes.

Subsequent System Availability (SA)

Impacto na disponibilidade de sistemas subsequentes.

Tabela de Severidade

None0.0

Low0.1 - 3.9

Medium4.0 - 6.9

High7.0 - 8.9

Critical9.0 - 10.0

O que e CVSS?

O Common Vulnerability Scoring System (CVSS) e um framework aberto e padronizado mantido pelo FIRST.org para avaliar a severidade de vulnerabilidades de seguranca. E a metrica usada pela maioria dos CVEs publicados, ferramentas de scan e plataformas de gestao de vulnerabilidades.

O CVSS atribui um score numerico de 0.0 a 10.0, classificado em 5 niveis qualitativos (None, Low, Medium, High, Critical). Esses scores sao calculados a partir de metricas tecnicas que descrevem como a vulnerabilidade pode ser explorada e qual o impacto potencial.

Como Usar Esta Calculadora

Escolha a versao CVSS 3.1 ou 4.0 nas abas acima.
Selecione cada metrica clicando nas opcoes correspondentes a vulnerabilidade que voce esta avaliando.
Veja o score atualizar em tempo real conforme voce seleciona.
Copie o vector string para documentar em relatorios, tickets ou comunicacoes.
Compartilhe o link usando o botao de compartilhamento - a URL preserva todas as suas selecoes.

CVSS 3.1 vs CVSS 4.0

Comparativo visual das metricas Base do CVSS 3.1 e CVSS 4.0 mostrando metricas existentes, alteradas, removidas e novas — Comparativo visual entre as metricas Base do CVSS 3.1 e CVSS 4.0

CVSS 3.1 (2019)

Padrao atual da maioria dos CVEs publicados
8 metricas Base
Suporte amplo em ferramentas de mercado
Formula matematica deterministica

CVSS 4.0 (2023)

Nova metrica Attack Requirements (AT)
Separacao entre sistema vulneravel e subsequente
Refinamento de Threat e Environmental
Score baseado em macrovector + lookup table

Boas Praticas de Uso

Lembre-se

O CVSS avalia severidade tecnica, nao risco real. Um CVE com score 9.8 em um sistema isolado, sem dados sensiveis e atras de varios controles compensatorios, pode representar risco menor que um CVE 6.5 em um sistema critico exposto. Use o CVSS como insumo para sua analise de risco - nunca como substituto.

Documente o vector: o score sozinho perde contexto. Sempre inclua o vector string completo.
Considere o ambiente: aplique as metricas Environmental para refletir seu contexto especifico.
Reavalie com Threat: a existencia de exploits publicos altera a urgencia de remediacao.
Combine com EPSS: o Exploit Prediction Scoring System complementa o CVSS com probabilidade real de exploracao.

Metricas Explicadas

Attack Vector (AV)

Descreve de onde a vulnerabilidade pode ser explorada. Vulnerabilidades exploraveis remotamente pela internet (Network) sao mais severas que aquelas que exigem acesso fisico ao dispositivo (Physical).

Attack Complexity (AC)

Avalia se existem condicoes adicionais alem do controle do atacante. AC:Low significa exploracao consistente; AC:High exige condicoes especificas (ex: race condition, configuracoes incomuns).

Privileges Required (PR)

Quanto privilegio o atacante precisa antes de explorar. PR:None e o pior caso (qualquer atacante anonimo); PR:High exige acesso administrativo previo.

User Interaction (UI)

Se a exploracao depende de uma vitima realizar uma acao (clicar em um link, abrir um arquivo). UI:None significa exploracao sem necessidade de vitima.

Scope (S) - apenas CVSS 3.1

Se a exploracao afeta apenas o componente vulneravel (Unchanged) ou pode impactar outros componentes (Changed). Exemplo classico: vulnerabilidade em um sandbox de browser que permite escapar e afetar o SO.

Confidentiality / Integrity / Availability (CIA)

Os impactos nos tres pilares da seguranca da informacao. Cada um e classificado em None, Low ou High. None = sem impacto; Low = impacto parcial/limitado; High = impacto total/grave.

Para mais siglas e termos tecnicos, consulte nosso glossario de acronimos de TI e SI.

Perguntas Frequentes

O que e CVSS?

CVSS (Common Vulnerability Scoring System) e um framework aberto e padronizado mantido pelo FIRST.org para avaliar a severidade de vulnerabilidades de seguranca. Atribui scores de 0.0 a 10.0 baseado em caracteristicas tecnicas e contextuais.

Qual a diferenca entre CVSS 3.1 e CVSS 4.0?

CVSS 4.0 (publicado em 2023) introduz novas metricas como Attack Requirements (AT), separa impacto em sistema vulneravel e subsequente, e refina o calculo. CVSS 3.1 (2019) ainda e amplamente usado em CVEs e ferramentas de seguranca.

O que significa o vector string?

O vector string e uma representacao textual das metricas selecionadas, no formato CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Permite documentar e compartilhar scores CVSS de forma padronizada.

Como sao classificadas as severidades?

None: 0.0 | Low: 0.1-3.9 | Medium: 4.0-6.9 | High: 7.0-8.9 | Critical: 9.0-10.0. Vulnerabilidades High e Critical demandam acao prioritaria com SLAs mais restritivos.

O CVSS substitui a analise de risco?

Nao. CVSS avalia severidade tecnica de uma vulnerabilidade isolada, mas nao considera contexto de negocio, exposicao real, controles compensatorios ou criticidade do ativo. Use CVSS como insumo para sua analise de risco, nunca como substituto.

Outras Ferramentas Gratuitas

Gerador de Senhas

Crie senhas fortes ou frases-senha (passphrases) com criptografia segura. 100% local, com indicador de forca e geracao em lote.

Validador SPF/DKIM/DMARC

Analise os registros de autenticacao de email do seu dominio. Identifique problemas e proteja contra spoofing.

Precisa de Apoio em Gestao de Vulnerabilidades?

Oferecemos consultoria, scan continuo, priorizacao baseada em risco e remediacao acompanhada.

Solicitar Proposta