logo
مسرد المصطلحات Common Vulnerabilities and Exposures (CVE)

ما هو CVE (الثغرات والتعرضات الشائعة)؟

CVE تعني الثغرات والتعرضات الشائعة. وهو نظام يتتبع الثغرات الأمنية السيبرانية التي تم التعرف عليها بالفعل للجمهور.

كل سجل CVE له معرف خاص به، مثل CVE-2024-492881، ويشرح ضعفًا معينًا في البرمجيات أو الأجهزة أو البرامج الثابتة التي يمكن للمهاجمين استخدامها لاستغلال النظام.

تم إطلاق برنامج CVE بواسطة شركة MITRE وهي مؤسسة غير ربحية ممولة اتحاديًا في الولايات المتحدة تركز على الأمن السيبراني والتكنولوجيا. اليوم، تواصل MITRE إدارة نظام CVE تحت إشراف مجلس CVE - مجموعة تضم خبراء الأمن والموردين وأصحاب المصلحة العالميين. تستخدم المنظمات والموردون وأدوات الأمن والباحثون في جميع أنحاء العالم CVE لتتبع الثغرات وإدارة التصحيحات.

لماذا CVE مهم في الأمن السيبراني

قبل CVE، اعتمد الباحثون والمنظمات على أنظمة تسمية منفصلة، مما جعل من الصعب تتبع الثغرات عبر الأدوات والتقارير المختلفة.

يساعد CVE في حل هذه المشكلة من خلال تقديم:

  • معرفات متسقة لكل ثغرة
  • رؤية مركزية في قاعدة البيانات الأمنية العالمية
  • تعاون أسهل بين الموردين والباحثين والمنظمات المشاركة في الأمن السيبراني.

يشكل CVE الأساس لأدوات الأمن مثل ماسحات الثغرات، SCA، ASPM، وأنظمة إدارة التصحيحات التي تعتمد على معرفات CVE للكشف عن المخاطر وتحديد أولوياتها.

كيف يعمل CVE؟

يتضمن كل سجل CVE في قاعدة بيانات الثغرات الأمنية:

  • معرف CVE - معرف فريد للثغرة الأمنية
  • وصف - شرح للثغرة الأمنية
  • مراجع - مصادر خارجية موثوقة تقدم معلومات مفصلة حول الثغرة الأمنية
  • درجة CVSS - تقييم الخطورة، وهو تقييم يخبرك بمدى خطورة أو تأثير الثغرة الأمنية إذا تم استغلالها.

يتم تخزين جميع سجلات CVE علنًا في cve.org، ويتم أيضًا نسخها في قاعدة البيانات الوطنية للثغرات الأمنية (NVD) التي تديرها NIST (المعهد الوطني للمعايير والتكنولوجيا)، وهي وكالة غير تنظيمية تابعة لوزارة التجارة الأمريكية.

الثغرات المعروفة مقابل الثغرات غير المعروفة

الثغرات المعروفة

الثغرات التي تكون المنظمات الأمنية والباحثون على علم بها ويمكنهم توفير تصحيحات لمعالجة الثغرات.

غالبًا ما تكون الثغرات المعروفة منشورة بالفعل في قواعد بيانات مثل CVE أو NVD.

مثال:

CVE-2017-5638 — الثغرة الأمنية في Apache Struts التي تم استغلالها في اختراق Equifax (2017).

الثغرات غير المعروفة (Zero-Day)

هذه هي العيوب غير المكتشفة أو غير المعلنة؛ فهي موجودة في البرامج ولكن لم يتم توثيقها بعد في قواعد بيانات CVE.

يمكن للمهاجمين استغلالها قبل أن يصدر البائع تصحيحًا. هذه العيوب خطيرة جدًا.

مثال:

يتم استخدام ثغرة في المتصفح من قبل المهاجمين قبل أن تصدر Google أو Microsoft إصلاحًا.

المصطلحات ذات الصلة

  • قاعدة بيانات الثغرات الوطنية (NVD)
  • نظام تسجيل الثغرات الشائع (CVSS)
  • ثغرة اليوم الصفري
  • استغلال
  • إدارة التصحيحات
  • إدارة الثغرات
  • تعداد الضعف الشائع (CWE)

الأسئلة الشائعة: CVE

ما هو معرف CVE؟

معرف CVE هو معرف فريد يتم تعيينه لثغرة تم الكشف عنها علنًا (مثل CVE-2025-01234).

من يدير نظام CVE؟

يتم إدارة برنامج CVE بواسطة مؤسسة MITRE، تحت إشراف مجلس CVE وبتمويل من وكالات حكومية أمريكية مثل وزارة الأمن الداخلي (DHS) ووكالة الأمن السيبراني والبنية التحتية (CISA).

هل جميع الثغرات مدرجة في CVE؟

لا. فقط الثغرات المعروفة علنًا تحصل على معرفات CVE. الثغرات غير المعروفة أو ثغرات اليوم الصفري لم يتم تسجيلها بعد.

كيف يرتبط CVE وCVSS؟

CVE يحدد الثغرة؛ CVSS (نظام تسجيل الثغرات الشائع) يقيس شدتها.

الخطوات التالية

جاهز لتأمين تطبيقاتك؟ اختر طريقك إلى الأمام.

ابدأ التجربة المجانية

جرب Plexicus بدون مخاطر لمدة 14 يومًا

عرض الأسعار

تسعير شفاف للفرق من جميع الأحجام

انضم إلى المجتمع

انضم إلى مجتمعنا العالمي

اقرأ الوثائق

اقرأ وثائقنا الشاملة

انضم إلى أكثر من 500 شركة تؤمن تطبيقاتها بالفعل مع Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready