# Decodificador de vetor CVSS

> Cole um vetor CVSS v3.1 ou v3.0 e veja a pontuação calculada e mapeada para uma severidade, com cada métrica explicada. Local e offline; nada é enviado a lugar nenhum.

- Tool: https://ronutz.com/pt-BR/tools/cvss-vector-decoder
- Family: Segurança e WAF

---

## O que faz

Cole uma string de vetor CVSS v3.1 ou v3.0 e a ferramenta calcula a pontuação, mapeia-a para uma faixa de severidade e explica o que cada métrica significa. Ela calcula a pontuação Base e também as pontuações Temporal e Ambiental quando essas métricas estão presentes no vetor. É pura matemática e roda offline; nada é enviado a lugar nenhum.

## O que é o CVSS

O CVSS, o Common Vulnerability Scoring System da FIRST.org, é a forma padrão de expressar quão severa é uma vulnerabilidade como um único número de 0,0 a 10,0. Esse número não é atribuído à mão; ele é calculado a partir de uma string de vetor, uma lista compacta de métricas como `CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H`, em que cada campo é uma característica da vulnerabilidade. A ferramenta reverte essa string para linguagem clara e roda a fórmula oficial sobre ela.

## As métricas Base

A pontuação Base, a parte que todo vetor tem, é construída a partir de métricas em dois grupos. As métricas de explorabilidade descrevem quão difícil a vulnerabilidade é de usar: **Attack Vector** (rede, adjacente, local ou físico), **Attack Complexity**, **Privileges Required** e **User Interaction**. As métricas de impacto descrevem o que acontece se ela for usada: o efeito sobre **Confidencialidade**, **Integridade** e **Disponibilidade**. O **Scope** fica entre elas e captura se explorar o componente pode afetar recursos além dele. A ferramenta mostra o valor escolhido de cada métrica e seu significado, para que um vetor deixe de ser um código opaco.

## Pontuação, severidade e os outros grupos

A pontuação Base calculada mapeia para uma faixa qualitativa: Nenhuma, Baixa, Média, Alta ou Crítica. Dois grupos de métricas opcionais a refinam quando presentes: as métricas **Temporais** ajustam pelo estado atual do código de exploração e das correções, e as métricas **Ambientais** repesam a pontuação para a sua implantação específica, incluindo seus próprios requisitos de confidencialidade, integridade e disponibilidade. A aritmética segue exatamente a especificação da FIRST.org, incluindo a regra de arredondamento da própria especificação, então o número que a ferramenta mostra corresponde ao da calculadora oficial.

## Como usar

Cole um vetor v3.0 ou v3.1 e leia a pontuação, a faixa de severidade e as métricas decodificadas. O cálculo é determinístico: o mesmo vetor sempre dá a mesma pontuação, porque é a fórmula publicada e nada mais.

## Standards and references

- [FIRST.org - CVSS v3.1 Specification Document](https://www.first.org/cvss/v3.1/specification-document)
- [FIRST.org - CVSS v3.1 Calculator](https://www.first.org/cvss/calculator/3.1)
- [NVD - CVSS v3.1 Equations](https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator/v31/equations)

## Related reading

- [As Métricas Base do CVSS, Explicadas](https://ronutz.com/pt-BR/learn/cvss-base-metrics-explained.md): A pontuação Base vem de oito métricas em duas famílias. Quatro métricas de explorabilidade (Vetor de Ataque, Complexidade do Ataque, Privilégios Necessários, Interação do Usuário) descrevem quão difícil é o ataque, e quatro métricas de impacto (Escopo, mais Confidencialidade, Integridade e Disponibilidade) descrevem o dano. O Escopo é a sutil: é o que permite que uma pontuação ultrapasse a fronteira do próprio componente vulnerável.
- [Como Funciona a Pontuação CVSS](https://ronutz.com/pt-BR/learn/how-cvss-scoring-works.md): O CVSS transforma uma string de vetor curta em um número de severidade de 0 a 10 usando uma fórmula fixa. A pontuação Base é construída a partir de duas subpontuações: Explorabilidade (quão acessível e fácil é a falha) e Impacto (quão grave é o resultado). Todo o resto refina essa base. Isso é aritmética, não opinião, e por isso uma calculadora reproduz exatamente qualquer pontuação publicada.
- [CVSS v3.0, v3.1 e v4.0: O Que Mudou](https://ronutz.com/pt-BR/learn/cvss-v3-vs-v4.md): Este decodificador calcula CVSS v3.0 e v3.1. As duas versões v3 compartilham uma fórmula mas diferem no arredondamento e em um termo ambiental, então as pontuações podem diferir em um décimo. O CVSS v4.0, lançado em 2023, é um redesenho maior, com novos grupos de métricas e sem a métrica Escopo, e seus vetores não são compatíveis com ferramentas v3. O CVSS v2 está descontinuado.
- [Faixas de Severidade do CVSS, e o Que a Pontuação Não Diz](https://ronutz.com/pt-BR/learn/cvss-severity-bands-and-limits.md): O número de 0 a 10 é mapeado para cinco faixas qualitativas, de Nenhuma a Crítica. Esse mapeamento é útil para triagem, mas uma pontuação Base do CVSS mede severidade, não risco. Ela não diz nada sobre uma falha estar sendo explorada, quão valioso é o ativo, ou quais controles você tem. Tratar o número base como uma fila de prioridade é a forma mais comum de as equipes usarem mal o CVSS.
- [Lendo uma String de Vetor CVSS](https://ronutz.com/pt-BR/learn/cvss-vector-string-format.md): Um vetor CVSS é uma string compacta e autodescritiva: um prefixo de versão seguido de pares métrica:valor separados por barras. Aprender a lê-la diretamente, em vez de confiar em uma pontuação renderizada, permite detectar erros de transcrição e entender exatamente o que um fornecedor afirmou. As métricas Base são obrigatórias e o resto é opcional.
- [Pontuações Temporal e Ambiental do CVSS](https://ronutz.com/pt-BR/learn/cvss-temporal-and-environmental.md): A pontuação Base é apenas o ponto de partida. As métricas Temporais a reduzem conforme os fatos surgem, como o lançamento de um patch, e só podem diminuir a pontuação. As métricas Ambientais permitem que uma organização recalcule a falha para seus próprios sistemas, elevando ou reduzindo a importância de confidencialidade, integridade e disponibilidade e sobrescrevendo métricas base. Ambas são opcionais, mas produzem um número mais honesto.
