CVSS scoring · v3.1 + v4.0 · FIRST.org

Q: Posso ignorar Medium/Low se só tenho recurso pra Critical/High?

Sim, como priorização. Mas documente a decisão em política interna · compliance pode exigir justificativa. Medium (4.0-6.9) pode escalar se combinado com outros findings.

Q: Qual a diferença entre CVSS e EPSS?

CVSS mede severidade técnica. EPSS (Exploit Prediction Scoring System, também FIRST.org) prevê probabilidade de exploit em 30 dias. Complementares: CVSS 9.8 + EPSS 0.001 = crítico mas baixa probabilidade imediata.

As 8 métricas Base.

Score CVSS Base é calculado a partir de 8 métricas em duas dimensões: Exploitability (AV · AC · PR · UI) e Impact (S · C · I · A). Cada métrica tem valores discretos que compõem o vetor legível · ex: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H = score 9.8 Critical.

Attack Vector N / A / L / P Network · Adjacent · Local · Physical · como o atacante alcança o alvo.

Attack Complexity L / H Low · High · complexidade adicional pra explorar.

Privileges Required N / L / H None · Low · High · privilégios pré-existentes necessários.

User Interaction N / R None · Required · precisa de ação do usuário pra exploit.

Scope U / C Unchanged · Changed · impacto escapa limite de segurança original.

Confidentiality N / L / H None · Low · High · impacto em confidencialidade de dados.

Integrity N / L / H None · Low · High · impacto em integridade dos dados.

Availability N / L / H None · Low · High · impacto em disponibilidade do serviço.

As 5 bandas de severidade.

None 0.0

Low 0.1 – 3.9

Medium 4.0 – 6.9

High 7.0 – 8.9

Critical 9.0 – 10.0

Indícia classifica findings em Critical/High/Medium/Low/Info seguindo as bandas CVSS. Export PDF mostra vetor completo, não só o número final — auditor ou cliente pode recalcular o score ou ajustar via Environmental.

Por que v3.1 continua dominando.

CVSS v4.0 foi lançado em novembro de 2023 com mudanças significativas: novos Supplemental Metrics, integração com Threat Intelligence, métricas ambientais revisadas. Adoção lenta:

NVD (NIST) · ainda publica CVSS v3.1 como score primário · v4.0 em dev
Red Hat / Microsoft / Cisco · bulletins continuam v3.1
Ferramentas DAST/SAST · maioria reporta v3.1 · v4.0 opcional
Compliance (PCI, SOC 2, ISO) · contratos padrão referenciam v3.1

Indícia usa CVSS v3.1 como score primário em todo finding. Quando o template upstream já publica v4.0, o Security Radar exibe ambos os scores · decisão de uso fica com o operador. Transição completa pra v4.0 esperada em 2027-2028 conforme NVD migrar.

Environmental metrics · ajuste contextual.

CVSS permite ajuste do score Base via Environmental Metrics (MAV, MAC, MPR, MUI, MS, MC, MI, MA). Uso prático: quando o httpx detecta WAF na frente do alvo, o atacante precisa contornar o WAF primeiro · o Security Radar sugere modificação de AV (Adjacent em vez de Network) mas não aplica silenciosamente. Operador decide.

Outro exemplo: CDN na frente mitiga parcialmente DDoS · afeta métrica A (Availability). Ajuste Environmental documenta essa redução de risco real mantendo auditabilidade do score Base original.

Perguntas que estão no ar

CVSS · dúvidas.

Meu scanner reporta CVSS v4.0, posso usar?

Sim, mas preserve v3.1 como score primário pra compliance. Compliance PCI/SOC 2/ISO ainda referencia v3.1. v4.0 é válido como suplementar.

Como calcular CVSS manualmente?

Use a calculadora oficial da FIRST.org. Informe as 8 métricas Base → obtém score 0-10 automaticamente. Vetor legível serve de audit trail.

Posso ignorar Medium/Low se só tenho recurso pra Critical/High?

Sim, como priorização. Mas documente a decisão em política interna · compliance pode exigir justificativa. Medium (4.0-6.9) pode escalar se combinado com outros findings.

CVSS v3.1 tem limitações?

Sim. (1) Subjetividade em métricas como Scope. (2) Não considera fatores temporais (exploit disponível público vs teórico). (3) Não pondera dados sensíveis envolvidos · necessidade de ajuste manual via Environmental.

Indícia permite ajustar score ambiental?

Sim. Dashboard permite override Environmental Metrics com justificativa em texto · trilha hash-assinada preserva score original + ajuste. Cliente pode recalcular offline.

Qual a diferença entre CVSS e EPSS?

CVSS mede severidade técnica. EPSS (Exploit Prediction Scoring System, também FIRST.org) prevê probabilidade de exploit em 30 dias. Complementares: CVSS 9.8 + EPSS 0.001 = crítico mas baixa probabilidade imediata.