CVE (Common Vulnerabilities and Exposures).

CVE ist ein 1999 von MITRE gestartetes und durch die US-Behörden CISA/DHS finanziertes Programm, das öffentlich offengelegten Schwachstellen weltweit eindeutige Identifikatoren (z. B. CVE-2014-0160) zuweist. Jeder Eintrag enthält eine Kurzbeschreibung, Verweise auf Advisories und die betroffenen Produktversionen. Die Vergabe ist auf Hunderte von CVE Numbering Authorities (CNAs) verteilt — Hersteller, Open-Source-Projekte und Koordinierungsstellen, die IDs innerhalb ihres eigenen Zuständigkeitsbereichs vergeben.

CVE selbst bewertet die Schwere nicht; CVSS, EPSS und die CISA-KEV-Liste setzen darauf auf. Ein praktisches Detail, das viele übersehen: Die Syntax der IDs änderte sich mit Wirkung zum Januar 2015. Das alte Format CVE-YYYY-NNNN begrenzte jedes Jahr auf 9.999 Einträge, daher sind nun beliebig lange Nummern zulässig (daher CVE-2021-44228). Einträge werden über die CVE Services auf cve.org als JSON veröffentlicht und lösen die alte Text-„CVE List" ab.

Die Fragilität des Programms zeigte sich im April 2025, als MITRE warnte, sein DHS-Vertrag werde am 16. auslaufen; CISA gewährte in letzter Minute eine elfmonatige Verlängerung, und bis Januar 2026 meldete das Board keine weitere „Funding Cliff". Sicherheitsteams verwenden CVE-IDs, um Scanner-Ergebnisse, Hersteller-Patches, Threat Intelligence und SBOM-Daten in einem einzigen Remediation-Workflow zu korrelieren.

flowchart LR
  R[Forscher oder Hersteller findet Fehler] --> C[CNA reserviert CVE-ID]
  C --> P[Oeffentlicher CVE-Eintrag auf cve.org]
  P --> N[NVD- und CVSS-Anreicherung]
  N --> E[EPSS-Score und CISA-KEV-Pruefung]
  E --> D[Verteidiger priorisieren und patchen]