什么是CVE（公共漏洞和暴露）？

CVE代表公共漏洞和暴露（Common Vulnerabilities and Exposures）。它是一个跟踪已公开的网络安全漏洞的系统。

每个CVE记录都有自己的ID，例如CVE-2024-492881，并解释了软件、硬件或固件中的特定弱点，攻击者可能利用这些弱点来攻击系统。

CVE计划由MITRE公司发起，这是一个专注于网络安全和技术的美国联邦资助的非营利组织。如今，MITRE继续在CVE委员会的监督下管理CVE系统，该委员会包括安全专家、供应商和全球利益相关者。全球的组织、供应商、安全工具和研究人员使用CVE来跟踪漏洞和管理补丁。

CVE在网络安全中的重要性

在CVE出现之前，研究人员和组织依赖于不同的命名方案，这使得在不同工具和报告中跟踪漏洞变得困难。

CVE通过提供以下内容来解决这个问题：

• 每个漏洞的一致标识符
• 集中化的可见性进入全球安全数据库
• 更容易的协作在供应商、研究人员和参与网络安全的组织之间。

CVE 构成了安全工具的基础，如漏洞扫描器、SCA、ASPM 和依赖于 CVE ID 来检测和优先处理风险的补丁管理系统。

CVE 如何工作？

漏洞数据库中的每个 CVE 记录包括

• CVE ID - 漏洞的唯一标识符
• 描述 - 漏洞的解释
• 参考资料 - 提供漏洞详细信息的可信外部来源
• CVSS 分数 - 严重性评级，告诉您漏洞被利用时的严重性或影响。

所有 CVE 都公开存储在 cve.org，并且在由 NIST（美国国家标准与技术研究院）维护的国家漏洞数据库 (NVD) 中镜像，NIST 是美国商务部的一个非监管机构。

已知漏洞与未知漏洞

已知漏洞

安全组织和研究人员已知的漏洞，并可以提供补丁来解决这些漏洞。

已知漏洞通常已经在像 CVE 或 NVD 这样的数据库中发布。

示例：

CVE-2017-5638 — 在**Equifax 数据泄露（2017）**中被利用的 Apache Struts 漏洞。

未知（零日）漏洞

这些是未被发现或未公开的缺陷；它们存在于软件中，但尚未在 CVE 数据库中记录。

攻击者可以在供应商发布补丁之前利用它们。这是一个非常危险的缺陷。

示例：

攻击者在 Google 或 Microsoft 发布修复之前利用的浏览器漏洞。

相关术语

• NVD（国家漏洞数据库）
• CVSS（通用漏洞评分系统）
• 零日漏洞
• 利用
• 补丁管理
• 漏洞管理
• 常见弱点枚举（CWE）

FAQ: CVE