Início / Blog / CVE e CVSS
Blog · Fundamentos

O que são CVE e CVSS

Toda vulnerabilidade tem um nome e uma nota. Entender os dois é o primeiro passo para decidir o que corrigir primeiro.

Em resumo

CVE é o identificador único de uma vulnerabilidade conhecida — um código público que serve de nome comum para todo mundo falar da mesma falha. CVSS é a nota de 0 a 10 que mede a gravidade dessa vulnerabilidade, dividida em faixas de baixa a crítica. As duas coisas ajudam a organizar o trabalho, mas a nota sozinha não decide a prioridade: o que corrigir primeiro depende do contexto e da exposição de cada falha no seu ambiente.

Quando você lê um relatório de segurança, dois termos aparecem o tempo todo: CVE e CVSS. Eles resolvem dois problemas diferentes — como dar um nome único a uma falha e como medir o quão grave ela é. Entender a diferença é o que separa uma lista de alertas assustadores de um plano de ação claro.

O que é CVE

CVE (Common Vulnerabilities and Exposures) é um catálogo público e padronizado de vulnerabilidades conhecidas. Cada falha registrada recebe um identificador único no formato CVE-ano-número — por exemplo, uma referência que qualquer fornecedor, ferramenta ou equipe de segurança usa para falar exatamente da mesma coisa.

A ideia é simples e poderosa: em vez de cada fabricante descrever a mesma brecha com um nome diferente, todos apontam para o mesmo código. Isso permite que scanners, boletins e times de resposta se entendam sem ambiguidade. O CVE, portanto, não mede gravidade — ele apenas identifica a vulnerabilidade e descreve o que ela é.

O que é CVSS e as faixas

CVSS (Common Vulnerability Scoring System) é o padrão que atribui a cada vulnerabilidade uma nota de 0 a 10, calculada a partir de características como facilidade de exploração e impacto potencial. Quanto maior a nota, mais grave a falha em tese. As notas se organizam em faixas:

Na prática, o CVSS dá uma linguagem comum de gravidade: quando alguém diz "essa é uma crítica 9.8", todos entendem a ordem de grandeza sem precisar explicar os detalhes técnicos.

CVE
O nome único da falha
0–10
A escala de gravidade do CVSS
Contexto
O que decide a prioridade real

Por que nota alta nem sempre é a prioridade

Aqui está o erro mais comum na gestão de vulnerabilidades: tratar o CVSS como uma fila de prioridade e correr atrás das notas mais altas primeiro. O problema é que a nota mede a gravidade teórica da falha — não o risco real que ela representa para a sua empresa.

Uma vulnerabilidade crítica em um serviço que não está exposto à internet, atrás de várias camadas de proteção e sem dados sensíveis, pode ser menos urgente do que uma falha de nota média em um sistema público, muito usado e ligado a informações importantes. O que muda a conta é o contexto: onde a falha está, quem consegue chegar até ela, o que ela protege e se já existe exploração ativa circulando.

Por isso o Argos prioriza vulnerabilidades por risco, e não apenas pela nota do CVSS. A equipe cruza a gravidade com a exposição, a criticidade do ativo e o cenário de ameaças para dizer, com clareza, o que precisa ser corrigido primeiro — em vez de entregar uma lista enorme de alertas sem ordem. É o que sustenta a gestão de vulnerabilidades e o ciclo de gestão de patches. Casos extremos, como as falhas zero-day, exigem esse olhar de contexto ainda mais rápido.

Onde o Argos entra

O Argos é o SOC gerenciado 24h da NoBug: transforma a enxurrada de CVEs e notas CVSS em uma lista priorizada por risco real, em português, e acompanha a correção até o fim. Em vez de você decidir sozinho o que atacar primeiro, a equipe usa o contexto do seu ambiente para separar o que é urgente do que pode esperar. Todo o trabalho roda com os dados no Brasil, e o programa de gestão de vulnerabilidades mantém o ciclo girando de forma contínua.

Leve com você
  • CVE é o identificador único e público de uma vulnerabilidade conhecida — o nome comum da falha.
  • CVSS é a nota de 0 a 10 que mede a gravidade, dividida em baixa, média, alta e crítica.
  • Nota alta indica gravidade teórica, não prioridade: contexto e exposição decidem o que corrigir primeiro.
  • O Argos prioriza vulnerabilidades por risco real, com os dados no Brasil.

Priorize o que realmente importa

O Argos transforma CVEs e notas CVSS em um plano de ação priorizado por risco, com os dados no Brasil. A gente entende seu cenário numa conversa rápida e monta uma proposta sob medida.