Em meados de 2023, o Common Vulnerability Scoring System (CVSS) v4.0 foi lançado, sucedendo o CVSS v3.0, com o objetivo de aprimorar a avaliação de vulnerabilidades tanto para a indústria quanto para o público. Essa versão mais recente introduz métricas adicionais, como segurança e automação, para abordar críticas de falta de granularidade, apresentando um sistema de pontuação revisado para uma avaliação mais abrangente. Além disso, enfatiza a importância de considerar métricas ambientais e de ameaças juntamente com a pontuação base para avaliar as vulnerabilidades de forma precisa.
A principal finalidade do CVSS é avaliar o risco associado a uma vulnerabilidade. Algumas vulnerabilidades, especialmente as encontradas em produtos de rede, apresentam um risco claro e significativo, pois atacantes não autenticados podem facilmente explorá-las para obter controle remoto sobre sistemas afetados. Essas vulnerabilidades têm sido frequentemente exploradas ao longo dos anos, servindo muitas vezes como pontos de entrada para ataques de ransomware.
Sistemas de avaliação de vulnerabilidades empregam fatores predefinidos para quantificar objetivamente a probabilidade e o impacto das vulnerabilidades. Entre esses sistemas, o CVSS emergiu como um padrão internacionalmente reconhecido para descrever características-chave de vulnerabilidades e determinar níveis de severidade.
O CVSS avalia vulnerabilidades com base em vários critérios, utilizando métricas com opções predefinidas para cada métrica. Essas métricas contribuem para calcular uma pontuação de severidade que varia de 0.0 a 10.0, sendo 10.0 o nível de severidade mais alto. Essas pontuações numéricas são então mapeadas para categorias qualitativas como “Nenhuma,” “Baixa,” “Média,” “Alta” e “Crítica,” refletindo a terminologia comumente usada em relatórios de vulnerabilidade.
As métricas empregadas na determinação da severidade são categorizadas em três grupos: Métricas Base, Métricas Temporais e Métricas Ambientais. Cada grupo fornece insights específicos sobre diferentes aspectos da vulnerabilidade, auxiliando em uma avaliação abrangente de sua severidade e potencial impacto.