Níveis de gravidade para problemas de segurança


Níveis de Gravidade

Os alertas de segurança da Atlassian têm níveis de gravidade. Esses níveis de gravidade são baseados na pontuação CVSS, calculada automaticamente para cada vulnerabilidade específica. O CVSS é uma métrica de vulnerabilidade padrão do setor. Você pode aprender mais sobre o CVSS em FIRST.org.

  • Crítico
  • Alto
  • Médio
  • Baixo

Em relação ao CVSS v3, a Atlassian usa o seguinte sistema de classificação de gravidade:

 

FAIXA DE PONTUAÇÃO DO CVSS V3
GRAVIDADE DO ALERTA

0,1 - 3,9

Baixa

4,0 - 6,9

Média

7,0 - 8,9

Alta

9,0 - 10,0

Crítica

Abaixo estão alguns exemplos de vulnerabilidades que podem resultar em um determinado nível de gravidade. Não se esqueça de que esta classificação não leva em consideração as informações da sua instalação e deve ser usada apenas como guia.

Nível de Gravidade: Crítico

Vulnerabilidades com pontuação crítica em geral têm a maioria das seguintes características:

  • É provável que a exploração da vulnerabilidade resulte em comprometimento no nível raiz de servidores ou dispositivos de infraestrutura.
  • A exploração é em geral simples, no sentido de que o invasor não precisa de credenciais de autenticação especiais ou conhecimento sobre as vítimas individuais e não precisa convencer um usuário alvo por meio de engenharia social, por exemplo, a executar quaisquer funções especiais.

Para vulnerabilidades críticas, é recomendável corrigir ou atualizar o mais rápido possível, a menos que você tenha outras medidas atenuantes em vigor. Por exemplo, um fator atenuante pode ser se a instalação não puder ser acessada via Internet.

Nível de Gravidade: Alto

Vulnerabilidades com pontuação alta em geral têm algumas das seguintes características:

  • A vulnerabilidade é difícil de explorar.
  • A exploração pode resultar em privilégios elevados.
  • A exploração pode resultar em perda significativa de dados ou tempo de inatividade.
     

Nível de Gravidade: Médio

Vulnerabilidades com pontuação média em geral têm algumas das seguintes características:

  • Vulnerabilidades que exigem que o invasor manipule vítimas individuais por meio de táticas de engenharia social.
  • Vulnerabilidades de negação de serviço que são difíceis de configurar.
  • Explorações que exigem que um invasor resida na mesma rede local que a vítima.
  • Vulnerabilidades em que a exploração possibilita apenas um acesso muito limitado.
  • Vulnerabilidades que requerem privilégios de usuário para uma exploração bem-sucedida. 
     

Nível de Gravidade: Baixo

Vulnerabilidades com pontuação baixa em geral têm muito pouco impacto nos negócios das empresas. A exploração dessas vulnerabilidades quase sempre requer acesso local ou físico ao sistema.