Vulnérabilités
CVE (Common Vulnerabilities and Exposures)
Aussi appelé: Identifiant CVE, Fiche CVE
Définition
Catalogue public attribuant un identifiant unique à chaque vulnérabilité divulguée afin de la référencer sans ambiguïté dans toute l'industrie.
Exemples
- CVE-2014-0160 (Heartbleed) : débordement de lecture du heartbeat OpenSSL.
- CVE-2021-44228 (Log4Shell) : exécution de code à distance via JNDI dans Log4j.
Termes liés
Vulnérabilité
Faiblesse d'un système, d'une application ou d'un processus qu'un attaquant peut exploiter pour porter atteinte à la confidentialité, l'intégrité ou la disponibilité.
CWE (Common Weakness Enumeration)
Taxonomie communautaire des types de faiblesses logicielles et matérielles — les classes de défauts qui mènent aux vulnérabilités.
CVSS (Common Vulnerability Scoring System)
Cadre ouvert, maintenu par le FIRST, qui produit un score de gravité 0–10 pour une vulnérabilité selon ses caractéristiques d'exploitation et son impact.
EPSS (Exploit Prediction Scoring System)
Modèle basé sur les données, maintenu par le FIRST, estimant la probabilité qu'une CVE soit exploitée dans la nature au cours des 30 prochains jours.
Vulnérabilité activement exploitée (KEV)
CVE que la CISA américaine confirme comme étant activement exploitée et ajoute à son catalogue public KEV, déclenchant des délais de remédiation pour les agences fédérales.
CVE Numbering Authority (CNA)
CVE Numbering Authority (CNA) — definition coming soon.