Las Vulnerabilidades y exposiciones comunes (en inglés, Common Vulnerabilities and Exposures, siglas CVE), es una lista de información registrada sobre vulnerabilidades de seguridad conocidas, en la que cada referencia tiene un número de identificación CVE-ID, descripción de la vulnerabilidad, que versiones del software están afectadas, posible solución al fallo (si existe) o como configurar para mitigar la vulnerabilidad y referencias a publicaciones o entradas de foros o blog donde se ha hecho pública la vulnerabilidad o se demuestra su explotación. Además suele también mostrarse un enlace directo a la información de la base de datos de vulnerabilidades del NIST (NVD), en la que pueden conseguirse más detalles de la vulnerabilidad y su valoración.
El CVE-ID ofrece una nomenclatura estándar para identificación de la vulnerabilidad de forma inequívoca que es usada en la mayoría de repositorios de vulnerabilidades.
Es definido y es mantenido por The MITRE Corporation (por eso a veces a la lista se la conoce por el nombre MITRE CVE List) con fondos de la National Cyber Security Division del gobierno de los Estados Unidos de América. Forma parte del llamado Security Content Automation Protocol.
La información y nomenclatura de esta lista son usadas en la National Vulnerability Database, el repositorio de los Estados Unidos de América de información sobre vulnerabilidades.
Para que una vulnerabilidad recién descubierta sea incorporada totalmente al listado, tiene que seguir un proceso que consta de tres etapas:
En estas etapas está la razón de que por qué la lista CVE no tiene vulnerabilidades de día cero (recién descubiertas).
Los formatos usados para identificar los elementos de esta lista se denominan CVE-ID y tienen las siguientes formas:
la MITRE CVE List funciona como un sitio centralizado de vulnerabilidades con el que colaboran organizaciones acreditadas en distintos países. A estas organizaciones se les llama Autoridades de Numeración de CVE o CNA (del inglés CVE Numbering Authority) y sus funciones principales son identificar vulnerabilidades, asignar identificadores CVE, informar al MITRE de sus descubrimientos y publicar información sobre vulnerabilidades. Todo ello de forma coordinada con el MITRE. El MITRE es considerado como el CNA primario.
Para ser CNA se tiene que acreditar haber establecido ciertas prácticas de gestión de vulnerabilidades así como una política de divulgación de vulnerabilidades adecuada. Típicamente los CNA's que son empresas vinculadas al software, CERT's (tanto nacionales como empresas) y organizaciones vinculadas al estudio de vulnerabilidades.4
Dentro de los CNA están los CNA Raíz que son organizaciones que cubren cierta área o nicho y controlan al resto de CNA's dentro de ese nicho. En muchos casos, son compañías importantes, que gestionan vulnerabilidades de sus propios productos (por ejemplo, Apple y Microsoft), o están enfocados en cierto tipo de vulnerabilidad (por ejemplo, Red Hat para software libre).
Buscador