IntruderLabs
PT EN Seja Parceiro

// ferramenta · cvss

Calculadora de CVSS — 2.0, 3.0, 3.1 e 4.0

Calcule a severidade de uma vulnerabilidade em qualquer versão do CVSS — 2.0, 3.0, 3.1 ou 4.0. Escolha a versão, monte o vetor e veja a nota e a severidade na hora.

Roda 100% no seu navegador · nada é enviado

Resultado
0.0

Métricas
Vetor de Ataque (AV)
Complexidade do Ataque (AC)
Requisitos do Ataque (AT)
Privilégios Necessários (PR)
Interação do Usuário (UI)
Confidencialidade — sist. vulnerável (VC)
Integridade — sist. vulnerável (VI)
Disponibilidade — sist. vulnerável (VA)
Confidencialidade — sist. subsequente (SC)
Integridade — sist. subsequente (SI)
Disponibilidade — sist. subsequente (SA)
Métricas opcionais (Temporal / Ambiental / Suplementares)
Ameaça
Maturidade do Exploit (E)
Ambientais
Requisito de Confidencialidade (CR)
Requisito de Integridade (IR)
Requisito de Disponibilidade (AR)
Modificado: Vetor de Ataque (AV)
Modificado: Complexidade do Ataque (AC)
Modificado: Requisitos do Ataque (AT)
Modificado: Privilégios Necessários (PR)
Modificado: Interação do Usuário (UI)
Modificado: Confidencialidade — sist. vulnerável (VC)
Modificado: Integridade — sist. vulnerável (VI)
Modificado: Disponibilidade — sist. vulnerável (VA)
Modificado: Confidencialidade — sist. subsequente (SC)
Modificado: Integridade — sist. subsequente (SI)
Modificado: Disponibilidade — sist. subsequente (SA)
Suplementares
Safety (S)
Automatizável (AU)
Recuperação (R)
Densidade de Valor (V)
Esforço de Resposta (RE)
Urgência do Fornecedor (U)

Cálculo conforme as especificações oficiais da FIRST.org. Roda 100% no seu navegador — nada é enviado a lugar nenhum.

// referência

O que é CVSS

O CVSS (Common Vulnerability Scoring System) é o padrão aberto, mantido pela FIRST, para medir a severidade de uma vulnerabilidade numa nota de 0 a 10. O vetor é a string que registra como cada métrica foi avaliada (ex.: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), tornando a nota reproduzível e auditável.

Severidade: None, Low, Medium, High e Critical

A nota numérica mapeia para uma faixa qualitativa (válida para o CVSS 3.0, 3.1 e 4.0):

SeveridadeFaixa da nota
None0.0
Low0.1 – 3.9
Medium4.0 – 6.9
High7.0 – 8.9
Critical9.0 – 10.0

As métricas base

As métricas base descrevem características intrínsecas da falha, que não mudam com o tempo nem com o ambiente. No CVSS 3.1 são oito:

  • AV — Attack Vector: De onde o ataque parte: rede, adjacente, local ou físico. Quanto mais remoto, maior a nota.
  • AC — Attack Complexity: Se a exploração depende de condições fora do controle do atacante. Baixa complexidade pesa mais.
  • PR — Privileges Required: O nível de privilégio que o atacante precisa antes de explorar: nenhum, baixo ou alto.
  • UI — User Interaction: Se a falha exige que uma vítima faça algo (clicar, abrir) ou dispara sozinha.
  • S — Scope: Se a falha rompe a fronteira de segurança e afeta recursos além do componente vulnerável.
  • C — Confidentiality: Quanto da confidencialidade é comprometida — nenhuma, parcial ou total.
  • I — Integrity: Quanto da integridade dos dados o atacante consegue alterar.
  • A — Availability: Quanto da disponibilidade do serviço é afetada (por exemplo, negação de serviço).

Versões: 2.0, 3.0, 3.1 e 4.0

O 2.0 é legado e raramente exigido hoje. O 3.0 e o 3.1 introduziram o Escopo (Scope) e são o padrão mais usado. O 4.0 (2023) é o mais novo: troca o grupo Temporal por Ameaça, separa o impacto no sistema vulnerável do impacto em sistemas subsequentes, adiciona Requisitos do Ataque (AT) e métricas suplementares como Safety. A calculadora cobre as quatro versões.

Perguntas frequentes

O que é CVSS?

O CVSS (Common Vulnerability Scoring System) é o padrão aberto, mantido pela FIRST, para medir a severidade de uma vulnerabilidade numa nota de 0 a 10. O vetor registra como cada métrica foi avaliada.

Qual a diferença entre o CVSS 3.1 e o 4.0?

O 4.0 troca o grupo Temporal por Ameaça, separa o impacto no sistema vulnerável do impacto em sistemas subsequentes, adiciona Requisitos do Ataque (AT) e métricas suplementares como Safety. Na prática, descreve melhor o risco real.

Como calcular o CVSS de uma vulnerabilidade?

Escolha a versão, marque cada métrica base (vetor de ataque, complexidade, privilégios, interação e impacto em confidencialidade, integridade e disponibilidade) e a nota e a severidade aparecem na hora. Refine com as métricas temporais ou ambientais se precisar.

O que significam None, Low, Medium, High e Critical?

São as faixas qualitativas da nota: None 0.0, Low 0.1–3.9, Medium 4.0–6.9, High 7.0–8.9 e Critical 9.0–10.0. Valem para o CVSS 3.0, 3.1 e 4.0.

Meus dados são enviados para algum servidor?

Não. O cálculo roda 100% no seu navegador, conforme as especificações oficiais da FIRST.org — nada é enviado a lugar nenhum.

// do score ao laudo

Transforme o score em entregável

Calculou a severidade? O Gerador de Laudo monta o relatório completo do achado com esse CVSS embutido. E o blog explica cada classe de vulnerabilidade a fundo.

Abrir o Gerador de Laudo → Ler o blog técnico →

Precisa de um pentest que entrega laudos com CVSS calibrado?

A IntruderLabs executa a segurança ofensiva sob a sua marca, com relatório white-label e severidade bem fundamentada — você revende, a gente executa.

Fale com a gente →