O que é CVE (Common Vulnerabilities and Exposures)?

CVE significa Common Vulnerabilities and Exposures. É um sistema que rastreia vulnerabilidades de cibersegurança que já são conhecidas pelo público.

Cada registro CVE possui seu próprio ID, como CVE-2024-492881, e explica uma fraqueza específica em software, hardware ou firmware que atacantes poderiam usar para explorar o sistema.

O Programa CVE foi lançado pela MITRE Corporation, uma organização sem fins lucrativos financiada pelo governo dos EUA, focada em cibersegurança e tecnologia. Hoje, a MITRE continua a gerenciar o sistema CVE com supervisão do Conselho CVE—um grupo que inclui especialistas em segurança, fornecedores e partes interessadas globais. Organizações, fornecedores, ferramentas de segurança e pesquisadores em todo o mundo usam o CVE para rastrear vulnerabilidades e gerenciar patches.

Por que o CVE é importante na cibersegurança

Antes do CVE, pesquisadores e organizações dependiam de esquemas de nomenclatura separados, o que tornava difícil rastrear vulnerabilidades em diferentes ferramentas e relatórios.

O CVE ajuda a resolver esse problema oferecendo:

• Identificadores consistentes para cada vulnerabilidade
• Visibilidade centralizada no banco de dados global de segurança
• Colaboração facilitada entre fornecedores, pesquisadores e organizações envolvidas em cibersegurança.

CVE forma a base para ferramentas de segurança como scanners de vulnerabilidade, SCA, ASPM e sistemas de gerenciamento de patches que dependem de IDs CVE para detectar e priorizar riscos.

Como o CVE funciona?

Cada registro CVE no banco de dados de vulnerabilidades inclui

• Um ID CVE - um identificador único para uma vulnerabilidade
• Uma Descrição - explicação da vulnerabilidade
• Referências - fontes externas confiáveis que fornecem informações detalhadas sobre a vulnerabilidade
• Uma Pontuação CVSS - classificação de severidade, uma classificação que indica quão séria ou impactante é uma vulnerabilidade se for explorada.

Todos os CVEs são armazenados publicamente em cve.org, e também espelhados no Banco de Dados Nacional de Vulnerabilidades (NVD) mantido pelo NIST (Instituto Nacional de Padrões e Tecnologia), que é uma agência não reguladora do Departamento de Comércio dos Estados Unidos.

Vulnerabilidades Conhecidas vs. Desconhecidas

Vulnerabilidades Conhecidas

Vulnerabilidades das quais organizações de segurança e pesquisadores estão cientes e podem fornecer patches para resolver as vulnerabilidades.

As vulnerabilidades conhecidas geralmente já estão publicadas em bancos de dados como CVE ou NVD.

Exemplo:

CVE-2017-5638 — a vulnerabilidade do Apache Struts explorada na violação da Equifax (2017).

Vulnerabilidades Desconhecidas (Zero-Day)

Estas são falhas não descobertas ou não divulgadas; elas existem no software, mas ainda não estão documentadas nos bancos de dados CVE.

Os atacantes podem explorá-las antes que o fornecedor libere um patch. Esta é uma falha que é muito perigosa.

Exemplo:

Uma vulnerabilidade de navegador é usada por atacantes antes que o Google ou a Microsoft liberem uma correção.

Termos Relacionados

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• Vulnerabilidade Zero-Day
• Exploit
• Gerenciamento de Patches
• Gerenciamento de Vulnerabilidades
• Enumeração de Fraquezas Comuns (CWE)

FAQ: CVE