Como são classificadas as vulnerabilidades de segurança?

18 Fev 2026 · Internet 1 Comentário

Num mundo cada vez mais digital, falar de vulnerabilidades é falar de risco. Mas afinal, como é que se determina se uma falha de segurança é “grave” ou apenas “moderada”? A resposta está nos sistemas de classificação.

Uma vulnerabilidade é uma falha, fraqueza ou erro existente num sistema, software, equipamento ou processo que pode ser explorado para provocar danos. Essa exploração pode permitir, por exemplo, o acesso não autorizado a informação, a interrupção de serviços ou o controlo indevido de sistemas.

CVSS: a escala que mede a gravidade da vulnerabilidade

O método mais utilizado para classificar vulnerabilidades é o CVSS (Common Vulnerability Scoring System), mantido pelo FIRST.

Este sistema atribui uma pontuação entre 0 e 10, que indica o nível de severidade da falha:

0.1 a 3.9 – Baixa
4.0 a 6.9 – Média
7.0 a 8.9 – Alta
9.0 a 10.0 – Crítica

Quanto maior o valor, maior o risco potencial para sistemas e organizações.

Métricas consideradas no CVSS

A pontuação base resulta da combinação de vários fatores:

Métricas Base - Avaliam características intrínsecas da vulnerabilidade:

Attack Vector (AV) – Local, rede, físico, etc.
Attack Complexity (AC) – Fácil ou complexa de explorar
Privileges Required (PR) – Necessita autenticação?
User Interaction (UI) – Precisa que o utilizador faça algo?
Impacto:
- Confidencialidade (C)
- Integridade (I)
- Disponibilidade (A)

Exemplo de uma classificação: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

AV:N – Attack Vector: Network
AC:L – Attack Complexity: Low
PR:N – Privileges Required: None
UI:N – User Interaction: None
S:U – Scope: Unchanged
C:H – Confidentiality: High
I:H – Integrity: High
A:H – Availability: High

Métricas Temporais

Existência de exploit público
Nível de correção disponível

Métricas Ambientais

Impacto específico para a organização afetada

CVE: o "ID" da vulnerabilidade

Cada vulnerabilidade conhecida recebe um identificador único no formato:

CVE-ANO-NÚMERO

O sistema CVE (Common Vulnerabilities and Exposures) é gerido pela organização MITRE.

A classificação de vulnerabilidades ajuda empresas e administradores de sistemas a definir prioridades. Uma vulnerabilidade crítica deve ser corrigida de imediato. Já uma falha classificada como média pode ser integrada num ciclo normal de atualização.

Comentários1

Zé Fonseca A. says:

18 de Fevereiro de 2026 às 18:12

Pro tip: sev 9.0 ou superior, patch em 48h
Não cumprir é assumir ataque

Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.