CVE (Common Vulnerabilities and Exposures)

Também conhecido como: Identificador CVE, Registo CVE

Catálogo público que atribui um identificador único a cada vulnerabilidade divulgada para que possa ser referenciada de forma inequívoca em toda a indústria.

CVE é um programa gerido pela MITRE sob patrocínio da CISA dos EUA, que emite identificadores globalmente únicos (por exemplo CVE-2014-0160) para vulnerabilidades divulgadas publicamente. Cada entrada contém uma descrição curta, referências a avisos e o intervalo de produtos afetados. As CVE Numbering Authorities (CNAs), como fornecedores e centros de coordenação, podem atribuir IDs no seu âmbito. O CVE não pontua gravidade — CVSS, EPSS e a lista KEV da CISA complementam-no. Equipas de segurança usam IDs CVE para correlacionar resultados de scanners, patches do fornecedor, threat intelligence e SBOM num único fluxo de remediação.

Exemplos

CVE-2014-0160 (Heartbleed): overflow de leitura no heartbeat do OpenSSL.
CVE-2021-44228 (Log4Shell): execução remota de código via JNDI no Log4j.

CVE (Common Vulnerabilities and Exposures)

Exemplos

Termos relacionados

Vulnerabilidade

CWE (Common Weakness Enumeration)

CVSS (Common Vulnerability Scoring System)

EPSS (Exploit Prediction Scoring System)

Vulnerabilidade explorada conhecida (KEV)

CVE Numbering Authority (CNA)

Definição

Exemplos

Termos relacionados

Vulnerabilidade

CWE (Common Weakness Enumeration)

CVSS (Common Vulnerability Scoring System)

EPSS (Exploit Prediction Scoring System)

Vulnerabilidade explorada conhecida (KEV)

CVE Numbering Authority (CNA)