CVE

Voci di Glossario Sicurezza Informatica
Indice dei contenuti

    Il CVE (Common Vulnerabilities and Exposures) è un sistema di identificazione e catalogazione delle vulnerabilità informatiche pubblicamente note. Ogni vulnerabilità riceve un identificativo univoco nel formato:

    CVE-ANNO-NUMERO

    Esempio: CVE-2021-44228 identifica Log4Shell — la vulnerabilità critica nella libreria Log4j scoperta nel dicembre 2021, con CVSS 10.0, che permetteva l’esecuzione remota di codice arbitrario tramite una stringa di log. Il sistema CVE è gestito da MITRE con finanziamento della CISA (Cybersecurity and Infrastructure Security Agency) del Dipartimento della Sicurezza Nazionale degli Stati Uniti.

    Struttura di un CVE

    Ogni record CVE contiene:

    • ID: identificativo univoco (CVE-ANNO-NUMERO)
    • Descrizione: spiegazione della vulnerabilità in linguaggio naturale
    • Riferimenti: link a advisory del vendor, proof-of-concept, patch
    • Stato: Reserved (riservato, non ancora pubblico), Published (pubblicato), Rejected (ritirato)

    Il database ufficiale delle descrizioni complete e delle metriche CVSS associate è il NVD (National Vulnerability Database, nvd.nist.gov), mantenuto dal NIST.

    CNA — CVE Numbering Authority

    I CVE ID non vengono assegnati solo da MITRE: i CNA (CVE Numbering Authority) sono organizzazioni autorizzate ad assegnare CVE ID nel proprio ambito. Sono CNA i principali vendor (Microsoft, Google, Apple, Red Hat, Cisco), le organizzazioni di sicurezza (GitHub, HackerOne, Trend Micro) e i CERT nazionali. Quando un ricercatore scopre una vulnerabilità, può contattare il CNA del vendor interessato per ottenere un CVE ID durante il processo di Coordinated Vulnerability Disclosure.

    CVE vs. NVD vs. CWE vs. CPE

    Il CVE è spesso confuso con sistemi correlati ma distinti:

    SistemaCosa catalogaGestito da
    CVEIstanze specifiche di vulnerabilitàMITRE/CISA
    NVDEnrichment di CVE con CVSS, CWE, CPENIST
    CWETipologie di debolezze (classi di difetti)MITRE
    CPEProdotti software/hardware (per correlare CVE a prodotti)NIST

    Un CVE punta a un CWE (la tipologia di debolezza sottostante) e a uno o più CPE (i prodotti affetti).

    Utilizzo pratico

    I CVE sono il vocabolario comune del vulnerability management: gli scanner (Nessus, Qualys, OpenVAS, Trivy) identificano le vulnerabilità per CVE ID; i team di sicurezza prioritizzano le patch in base al CVSS dei CVE; i feed di threat intelligence segnalano CVE attivamente sfruttati. La CISA KEV (Known Exploited Vulnerabilities catalog) è la lista dei CVE con evidenza documentata di sfruttamento attivo in natura — priorità massima di patching.

    Ultimo aggiornamento: