¿Qué es CVE (Common Vulnerabilities and Exposures)?

CVE significa Common Vulnerabilities and Exposures (Vulnerabilidades y Exposiciones Comunes). Es un sistema que realiza un seguimiento de las vulnerabilidades de ciberseguridad que ya son conocidas por el público.

Cada registro CVE tiene su propio ID, como CVE-2024-492881, y explica una debilidad específica en software, hardware o firmware que los atacantes podrían usar para explotar el sistema.

El Programa CVE fue lanzado por MITRE Corporation, una organización sin fines de lucro financiada por el gobierno de EE. UU. centrada en la ciberseguridad y la tecnología. Hoy en día, MITRE continúa gestionando el sistema CVE con la supervisión de la Junta CVE, un grupo que incluye expertos en seguridad, proveedores y partes interesadas globales. Organizaciones, proveedores, herramientas de seguridad e investigadores de todo el mundo utilizan CVE para rastrear vulnerabilidades y gestionar parches.

Por qué CVE es importante en ciberseguridad

Antes de CVE, los investigadores y las organizaciones dependían de esquemas de nomenclatura separados, lo que dificultaba el seguimiento de vulnerabilidades en diferentes herramientas e informes.

CVE ayuda a resolver este problema ofreciendo:

• Identificadores consistentes para cada vulnerabilidad
• Visibilidad centralizada en la base de datos de seguridad global
• Colaboración más fácil entre proveedores, investigadores y organizaciones involucradas en ciberseguridad.

CVE forma la base para herramientas de seguridad como escáneres de vulnerabilidades, SCA, ASPM y sistemas de gestión de parches que dependen de los IDs de CVE para detectar y priorizar riesgos.

¿Cómo funciona CVE?

Cada registro CVE en la base de datos de vulnerabilidades incluye

• Un ID de CVE - un identificador único para una vulnerabilidad
• Una Descripción - explicación de la vulnerabilidad
• Referencias - fuentes externas confiables que proporcionan información detallada sobre la vulnerabilidad
• Una Puntuación CVSS - calificación de severidad, una calificación que indica cuán seria o impactante es una vulnerabilidad si se explota.

Todos los CVE se almacenan públicamente en cve.org, y también se reflejan en la Base de Datos Nacional de Vulnerabilidades (NVD) mantenida por NIST (Instituto Nacional de Estándares y Tecnología), que es una agencia no reguladora del Departamento de Comercio de los Estados Unidos.

Vulnerabilidades Conocidas vs. Desconocidas

Vulnerabilidades Conocidas

Vulnerabilidades que las organizaciones de seguridad e investigadores conocen y pueden proporcionar parches para abordar las vulnerabilidades.

Las vulnerabilidades conocidas a menudo ya están publicadas en bases de datos como CVE o NVD.

Ejemplo:

CVE-2017-5638 — la vulnerabilidad de Apache Struts explotada en la brecha de Equifax (2017).

Vulnerabilidades Desconocidas (Zero-Day)

Estas son fallas no descubiertas o no divulgadas; existen en el software pero aún no están documentadas en las bases de datos CVE.

Los atacantes pueden explotarlas antes de que el proveedor lance un parche. Esta es una falla que es muy peligrosa.

Ejemplo:

Una vulnerabilidad del navegador es utilizada por atacantes antes de que Google o Microsoft lancen una solución.

Términos Relacionados

• NVD (Base de Datos Nacional de Vulnerabilidades)
• CVSS (Sistema de Puntuación de Vulnerabilidades Comunes)
• Vulnerabilidad Zero-Day
• Explotación
• Gestión de Parches
• Gestión de Vulnerabilidades
• Enumeración de Debilidades Comunes (CWE)

FAQ: CVE