Een CVSS-score is een gestandaardiseerde score die aangeeft hoe ernstig een softwarekwetsbaarheid is. De score loopt van 0 tot 10 en wordt berekend volgens het Common Vulnerability Scoring System, een methode die wereldwijd wordt gebruikt om beveiligingslekken op een vergelijkbare manier te beoordelen.
De berekening kijkt onder meer naar hoe eenvoudig een kwetsbaarheid kan worden misbruikt, of er toegang tot het systeem nodig is en welke impact een succesvolle aanval heeft op vertrouwelijkheid, integriteit en beschikbaarheid van gegevens.
De CVSS-score is bedoeld als gemeenschappelijke maat, geen kant-en-klaar oordeel. Ze helpt kwetsbaarheden te rangschikken, maar zegt niet automatisch hoe urgent een probleem in een specifieke serveromgeving werkelijk is.