Vad är CVE (Common Vulnerabilities and Exposures)?
CVE står för Common Vulnerabilities and Exposures. Det är ett system som håller reda på cybersäkerhetsbrister som redan är kända för allmänheten.
Varje CVE-post har sitt eget ID, som CVE-2024-492881, och förklarar en specifik svaghet i mjukvara, hårdvara eller firmware som angripare kan använda för att utnyttja systemet.
CVE-programmet lanserades av MITRE Corporation, en amerikansk federalt finansierad ideell organisation fokuserad på cybersäkerhet och teknologi. Idag fortsätter MITRE att hantera CVE-systemet med tillsyn från CVE-styrelsen—en grupp som inkluderar säkerhetsexperter, leverantörer och globala intressenter. Organisationer, leverantörer, säkerhetsverktyg och forskare världen över använder CVE för att spåra sårbarheter och hantera patchar.
Varför CVE är viktigt inom cybersäkerhet
Innan CVE förlitade sig forskare och organisationer på separata namngivningssystem, vilket gjorde det svårt att spåra sårbarheter över olika verktyg och rapporter.
CVE hjälper till att lösa detta problem genom att erbjuda:
- Konsekventa identifierare för varje sårbarhet
- Centraliserad synlighet i den globala säkerhetsdatabasen
- Enklare samarbete mellan leverantörer, forskare och organisationer som är involverade i cybersäkerhet.
CVE utgör grunden för säkerhetsverktyg som sårbarhetsskannrar, SCA, ASPM och patchhanteringssystem som förlitar sig på CVE-ID för att upptäcka och prioritera risker.
Hur fungerar CVE?
Varje CVE-post i sårbarhetsdatabasen inkluderar
- Ett CVE-ID - en unik identifierare för en sårbarhet
- En beskrivning - förklaring av sårbarheten
- Referenser - betrodda externa källor som ger detaljerad information om sårbarheten
- En CVSS-poäng - allvarlighetsgrad, en bedömning som berättar hur allvarlig eller påverkan av en sårbarhet är om den utnyttjas.
Alla CVE
lagras offentligt på cve.org, och speglas även i National Vulnerability Database (NVD) som underhålls av NIST (National Institute of Standards and Technology), vilket är en icke-reglerande myndighet inom USA handelsdepartement.Kända vs. Okända Sårbarheter
Kända Sårbarheter
Sårbarheter som säkerhetsorganisationer och forskare är medvetna om och kan tillhandahålla patchar för att åtgärda sårbarheterna.
De kända sårbarheterna är ofta redan publicerade i databaser som CVE eller NVD.
Exempel:
CVE-2017-5638 — Apache Struts-sårbarheten som utnyttjades i Equifax-incidenten (2017).
Okända (Zero-Day) Sårbarheter
Dessa är oupptäckta eller oavslöjade brister; de finns i mjukvara men är ännu inte dokumenterade i CVE-databaser.
Angripare kan utnyttja dem innan leverantören släpper en patch. Detta är en brist som är mycket farlig.
Exempel:
En webbläsarsårbarhet används av angripare innan Google eller Microsoft släpper en fix.
Relaterade Termer
- NVD (National Vulnerability Database)
- CVSS (Common Vulnerability Scoring System)
- Zero-Day Sårbarhet
- Exploit
- Patchhantering
- Sårbarhetshantering
- Common Weakness Enumeration (CWE)
FAQ: CVE
Vad är ett CVE-ID?
Ett CVE-ID är en unik identifierare som tilldelas en offentligt avslöjad sårbarhet (t.ex. CVE-2025-01234).
Vem underhåller CVE-systemet?
CVE-programmet hanteras av MITRE Corporation, med tillsyn från CVE-styrelsen och finansiering av amerikanska myndigheter såsom Department of Homeland Security (DHS) och CISA.
Är alla sårbarheter listade i CVE?
Nej. Endast offentligt kända sårbarheter får CVE-ID
. Okända sårbarheter eller Zero-day sårbarheter är ännu inte registrerade.Hur relaterar CVE och CVSS?
CVE identifierar sårbarheten; CVSS (Common Vulnerability Scoring System) mäter dess allvarlighetsgrad.