CVE (Common Vulnerabilities and Exposures).

CVE é um programa lançado pela MITRE em 1999 e patrocinado a nível federal pela CISA/DHS dos EUA, que emite identificadores globalmente únicos (por exemplo CVE-2014-0160) para vulnerabilidades divulgadas publicamente. Cada entrada contém uma descrição curta, referências a avisos e o intervalo de produtos afetados. A atribuição é federada por centenas de CVE Numbering Authorities (CNAs) — fornecedores, projetos de código aberto e centros de coordenação que alocam IDs dentro do seu próprio âmbito.

O CVE em si não pontua a gravidade; o CVSS, o EPSS e a lista KEV da CISA são adicionados por cima. Um detalhe prático que muitos ignoram: a sintaxe dos IDs mudou a partir de janeiro de 2015. O antigo formato CVE-YYYY-NNNN limitava cada ano a 9.999 registos, pelo que agora são permitidos números de comprimento arbitrário (daí CVE-2021-44228). Os registos são publicados em JSON através do CVE Services no cve.org, substituindo a antiga "CVE List" em texto.

A fragilidade do programa ficou exposta em abril de 2025, quando a MITRE alertou que o seu contrato com o DHS expiraria no dia 16; a CISA emitiu uma extensão de última hora de 11 meses e, em janeiro de 2026, o conselho informou que já não havia qualquer "precipício de financiamento". As equipas de segurança usam os IDs CVE para correlacionar os resultados dos scanners, os patches dos fornecedores, a threat intelligence e os dados de SBOM num único fluxo de remediação.

flowchart LR
  R[Investigador ou fornecedor encontra falha] --> C[CNA reserva ID CVE]
  C --> P[Registo CVE publico no cve.org]
  P --> N[Enriquecimento NVD e CVSS]
  N --> E[Pontuacao EPSS e verificacao CISA KEV]
  E --> D[Defensores priorizam e corrigem]