Les vulnérabilités sont généralement évaluées en fonction de leur impact potentiel sur la sécurité de l'entreprise, de leur exploité et de leur probabilité d'exploitation. Le CVSS (Common Vulnerability Scoring System) est un standard largement utilisé pour attribuer une note de gravité à chaque vulnérabilité, de 0 (sans risque) à 10 (extrêmement critique).