Consulta em tempo real o EPSS (Exploit Prediction Scoring System) de uma ou mais CVEs, com base na API pública da FIRST.org. EPSS estima a probabilidade da CVE ser explorada in-the-wild nos próximos 30 dias — ferramenta-chave para priorizar patches por risco real de exploração, não apenas severidade técnica do CVSS.
Use combinando com CVSS (severidade) e KEV da CISA (exploração confirmada) para decisões de priorização.
Consultar CVE(s)
Cole uma CVE por linha ou separadas por vírgula (ex.: CVE-2024-3400, CVE-2023-46604).
Perguntas frequentes
O que é EPSS?
EPSS (Exploit Prediction Scoring System) é um modelo da FIRST.org que estima a probabilidade de uma CVE ser explorada in-the-wild nos próximos 30 dias. Retorna duas métricas: probability (0.0 a 1.0) e percentile (posição relativa entre todas as CVEs). É reavaliado diariamente.
Como combinar EPSS, CVSS e KEV?
CVSS mede severidade técnica. EPSS estima probabilidade de exploração. KEV (CISA) lista CVEs comprovadamente exploradas. Regra prática: KEV = patch agora; EPSS ≥ 10% AND CVSS ≥ 7 = janela de uma semana; EPSS ≥ 1% = ciclo padrão; abaixo disso, acompanhar.
De onde vêm os dados desta página?
Consulta em tempo real à API pública da FIRST.org (api.first.org/data/v1/epss). Nenhum dado é armazenado — a chamada sai do seu navegador. Se sua rede bloqueia, é possível usar VulnCheck, Vulners ou a CLI epss-cli.
Os percentis EPSS são absolutos ou relativos?
Relativos. Percentil 97 significa probabilidade maior do que 97% das CVEs no catálogo. Como o universo de CVEs cresce, percentis se reorganizam — não use percentil como número absoluto entre datas distantes; use probability para comparar ao longo do tempo.
Posso consultar várias CVEs de uma vez?
Sim. Cole uma lista (uma por linha ou separadas por vírgula). A ferramenta agrupa em uma única chamada. Limite prático: ~100 CVEs por consulta.
O EPSS substitui o CVSS?
Não. EPSS responde "qual a chance disso ser explorado?" e CVSS responde "qual o impacto técnico se for explorado?". Você precisa dos dois para priorização racional.