Como priorizar CVEs: além do score CVSS
Mais de 6.000 CVEs publicadas por mês. Score CVSS 9.0+ não significa que alguém está explorando. O desafio real é filtrar urgência de ruído — e isso exige cruzar dados que o CVSS sozinho não cobre.
O problema do CVSS como critério único
O Common Vulnerability Scoring System (CVSS) avalia severidade técnica — impacto potencial se a vulnerabilidade for explorada. Não avalia probabilidade de exploração, exposição real do seu ambiente, ou se há patch disponível. Uma CVE com CVSS 10.0 em um produto que você não usa é irrelevante. Uma CVE com CVSS 7.5 no seu firewall principal com exploit público é urgência máxima.
Framework de priorização: 4 camadas
1
Exploração ativa? (CISA KEV)
Se a CVE está no catálogo CISA KEV → prioridade zero. Remediação imediata, sem esperar janela. O VAIA monitora 54 KEVs ativas entre 6.153 CVEs recentes.
2
Exposição real?
Você usa o produto afetado? O componente vulnerável está acessível na sua arquitetura? Sem inventário cruzado com CVE, você não tem essa resposta.
3
Exploit público disponível?
GitHub Advisories, Exploit-DB e Metasploit indicam se a vulnerabilidade tem ferramental pronto para ataque. Isso reduz a barreira de entrada para atacantes.
4
Capacidade de resposta?
O VAIA identifica que há 0,75 CVE por vaga de segurança e 248 CVEs críticas em aberto. Se sua equipe está abaixo desse ratio, automação de triagem é necessária, não opcional. Sinal: sec-hiring-crisis (90).
O que acompanhar
- →Ratio CVE/analista na sua organização vs a média do mercado (0,75 CVE/vaga). Se estiver acima, triagem manual não escala.
- →Novas KEVs em vendors presentes no seu stack — a CISA publica atualizações contínuas.
- →CVEs com exploit público (GitHub Advisories + Exploit-DB) que atingem seus produtos — urgência sem esperar KEV.
- →Tendência de CVEs por vendor: se um vendor lidera CVEs críticas de forma consistente, a decisão de stack pode precisar ser revisada.
Mais guias de segurança