logo
מילון מונחים Common Vulnerabilities and Exposures (CVE)

מהו CVE (פגיעויות וחשיפות נפוצות)?

CVE הוא ראשי תיבות של פגיעויות וחשיפות נפוצות. זהו מערכת שעוקבת אחר פגיעויות סייבר שכבר ידועות לציבור.

לכל רשומת CVE יש מזהה משלה, כמו CVE-2024-492881, והיא מסבירה חולשה ספציפית בתוכנה, חומרה או קושחה שתקופים יכולים לנצל כדי לפגוע במערכת.

תוכנית CVE הושקה על ידי MITRE Corporation, עמותה ללא מטרות רווח במימון פדרלי בארה”ב המתמקדת בסייבר ובטכנולוגיה. כיום, MITRE ממשיכה לנהל את מערכת CVE בפיקוח מועצת CVE—קבוצה הכוללת מומחי אבטחה, ספקים ובעלי עניין גלובליים. ארגונים, ספקים, כלים לאבטחה וחוקרים ברחבי העולם משתמשים ב-CVE כדי לעקוב אחר פגיעויות ולנהל תיקונים.

מדוע CVE חשוב באבטחת סייבר

לפני CVE, חוקרים וארגונים הסתמכו על סכימות שמות נפרדות, מה שהקשה על מעקב אחר פגיעויות בכלים ודוחות שונים.

CVE עוזר לפתור בעיה זו על ידי הצעת:

  • מזהים עקביים לכל פגיעות
  • נראות מרכזית למסד הנתונים הגלובלי של אבטחה
  • שיתוף פעולה קל יותר בין ספקים, חוקרים וארגונים המעורבים באבטחת סייבר.

CVE מהווה את הבסיס לכלי אבטחה כמו סורקי פגיעות, SCA, ASPM ומערכות ניהול תיקונים התלויות במזהי CVE כדי לזהות ולתעדף סיכונים.

איך CVE עובד?

כל רשומת CVE במסד הנתונים של הפגיעות כוללת

  • מזהה CVE - מזהה ייחודי לפגיעות
  • תיאור - הסבר על הפגיעות
  • הפניות - מקורות חיצוניים מהימנים המספקים מידע מפורט על הפגיעות
  • ציון CVSS - דירוג חומרה, דירוג שמספר לך עד כמה חמורה או משפיעה הפגיעות אם היא מנוצלת.

כל CVE נשמרים בפומבי ב-cve.org, וגם משוכפלים במסד הנתונים הלאומי לפגיעות (NVD) המנוהל על ידי NIST (המכון הלאומי לתקנים וטכנולוגיה), שהוא סוכנות לא רגולטורית של מחלקת המסחר של ארצות הברית.

ידועות לעומת פגיעויות לא ידועות

פגיעויות ידועות

פגיעויות שארגוני אבטחה וחוקרים מודעים להן ויכולים לספק תיקונים כדי לטפל בפגיעויות.

הפגיעויות הידועות כבר מפורסמות לעיתים קרובות במאגרי מידע כמו CVE או NVD.

דוגמה:

CVE-2017-5638 — הפגיעות של Apache Struts שנוצלה בפרצת Equifax (2017).

פגיעויות לא ידועות (Zero-Day)

אלו הם פגמים שלא התגלו או לא פורסמו; הם קיימים בתוכנה אך עדיין לא מתועדים במאגרי CVE.

תוקפים יכולים לנצל אותם לפני שהספק משחרר תיקון. זהו פגם שהוא מאוד מסוכן.

דוגמה:

פגיעות בדפדפן מנוצלת על ידי תוקפים לפני ש-Google או Microsoft משחררות תיקון.

מונחים קשורים

  • NVD (מאגר הפגיעויות הלאומי)
  • CVSS (מערכת דירוג פגיעויות משותפת)
  • פגיעות Zero-Day
  • ניצול
  • ניהול תיקונים
  • ניהול פגיעויות
  • מיפוי חולשות משותף (CWE)

שאלות נפוצות: CVE

מהו מזהה CVE?

מזהה CVE הוא מזהה ייחודי המוקצה לפגיעות שפורסמה בפומבי (למשל, CVE-2025-01234).

מי מתחזק את מערכת CVE?

התוכנית CVE מנוהלת על ידי תאגיד MITRE, בפיקוח מועצת CVE ובמימון של סוכנויות ממשלתיות אמריקאיות כמו מחלקת ביטחון המולדת (DHS) ו-CISA.

האם כל הפגיעויות מופיעות ב-CVE?

לא. רק פגיעויות ידועות לציבור מקבלות מזהי CVE. פגיעויות לא ידועות או פגיעויות Zero-day עדיין לא נרשמו.

איך CVE ו-CVSS קשורים?

CVE מזהה את הפגיעות; CVSS (מערכת ניקוד פגיעות משותפת) מודדת את חומרתה.

Next Steps

מוכן לאבטח את היישומים שלך? בחר את הדרך שלך קדימה.

Start Free Trial

נסה את Plexicus ללא סיכון למשך 14 ימים

View Pricing

תמחור שקוף לצוותים בכל הגדלים

הצטרף לקהילה

הצטרף לקהילה הגלובלית שלנו

קרא את התיעוד

קרא את התיעוד המקיף שלנו

הצטרף ל-500+ חברות שכבר מאבטחות את היישומים שלהן עם Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready