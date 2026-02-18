Num mundo cada vez mais digital, falar de vulnerabilidades é falar de risco. Mas afinal, como é que se determina se uma falha de segurança é “grave” ou apenas “moderada”? A resposta está nos sistemas de classificação.

Uma vulnerabilidade é uma falha, fraqueza ou erro existente num sistema, software, equipamento ou processo que pode ser explorado para provocar danos. Essa exploração pode permitir, por exemplo, o acesso não autorizado a informação, a interrupção de serviços ou o controlo indevido de sistemas.

CVSS: a escala que mede a gravidade da vulnerabilidade

O método mais utilizado para classificar vulnerabilidades é o CVSS (Common Vulnerability Scoring System), mantido pelo FIRST.

Este sistema atribui uma pontuação entre 0 e 10, que indica o nível de severidade da falha:

0.1 a 3.9 – Baixa

4.0 a 6.9 – Média

7.0 a 8.9 – Alta

9.0 a 10.0 – Crítica

Quanto maior o valor, maior o risco potencial para sistemas e organizações.

Métricas consideradas no CVSS

A pontuação base resulta da combinação de vários fatores:

Métricas Base - Avaliam características intrínsecas da vulnerabilidade:

Attack Vector (AV) – Local, rede, físico, etc.

– Local, rede, físico, etc. Attack Complexity (AC) – Fácil ou complexa de explorar

– Fácil ou complexa de explorar Privileges Required (PR) – Necessita autenticação?

– Necessita autenticação? User Interaction (UI) – Precisa que o utilizador faça algo?

– Precisa que o utilizador faça algo? Impacto : Confidencialidade (C) Integridade (I) Disponibilidade (A)

:

Exemplo de uma classificação: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

AV:N – Attack Vector: Network

AC:L – Attack Complexity: Low

PR:N – Privileges Required: None

UI:N – User Interaction: None

S:U – Scope: Unchanged

C:H – Confidentiality: High

I:H – Integrity: High

A:H – Availability: High

Métricas Temporais

Existência de exploit público

Nível de correção disponível

Métricas Ambientais

Impacto específico para a organização afetada

CVE: o "ID" da vulnerabilidade

Cada vulnerabilidade conhecida recebe um identificador único no formato:

CVE-ANO-NÚMERO

O sistema CVE (Common Vulnerabilities and Exposures) é gerido pela organização MITRE.

A classificação de vulnerabilidades ajuda empresas e administradores de sistemas a definir prioridades. Uma vulnerabilidade crítica deve ser corrigida de imediato. Já uma falha classificada como média pode ser integrada num ciclo normal de atualização.