logo
מילון מונחים Common Vulnerabilities and Exposures (CVE)

מהו CVE (חולשות וחשיפות נפוצות)?

CVE הוא ראשי תיבות של חולשות וחשיפות נפוצות. זהו מערכת שעוקבת אחר חולשות אבטחת סייבר שכבר ידועות לציבור.

לכל רשומת CVE יש מזהה ייחודי, כמו CVE-2024-492881, והיא מסבירה חולשה ספציפית בתוכנה, חומרה או קושחה שתקפים יכולים לנצל כדי לפגוע במערכת.

תוכנית CVE הושקה על ידי MITRE Corporation, עמותה ללא מטרות רווח הממומנת על ידי הממשלה הפדרלית של ארה”ב ומתמקדת באבטחת סייבר וטכנולוגיה. כיום, MITRE ממשיכה לנהל את מערכת CVE בפיקוח מועצת CVE—קבוצה הכוללת מומחי אבטחה, ספקים ובעלי עניין גלובליים. ארגונים, ספקים, כלים לאבטחה וחוקרים ברחבי העולם משתמשים ב-CVE כדי לעקוב אחר חולשות ולנהל תיקונים.

למה CVE חשוב באבטחת סייבר

לפני CVE, חוקרים וארגונים הסתמכו על שיטות שמות נפרדות, מה שהקשה על מעקב אחר חולשות בכלים ודוחות שונים.

CVE עוזר לפתור בעיה זו על ידי הצעת:

  • מזהים עקביים לכל חולשה
  • נראות מרכזית לתוך מאגר האבטחה הגלובלי
  • שיתוף פעולה קל יותר בין ספקים, חוקרים וארגונים המעורבים באבטחת סייבר.

CVE מהווה את הבסיס לכלי אבטחה כמו סורקי חולשות, SCA, ASPM, ומערכות ניהול תיקונים המסתמכות על מזהי CVE כדי לזהות ולתעדף סיכונים.

איך עובד CVE?

כל רשומת CVE במאגר הפגיעויות כוללת

  • מזהה CVE - מזהה ייחודי לפגיעות
  • תיאור - הסבר על הפגיעות
  • הפניות - מקורות חיצוניים מהימנים המספקים מידע מפורט על הפגיעות
  • ציון CVSS - דירוג חומרה, דירוג שמציין עד כמה חמורה או משפיעה הפגיעות אם היא מנוצלת.

כל ה-CVE נשמרים באופן ציבורי ב-cve.org, וגם משוכפלים ב-מאגר הפגיעויות הלאומי (NVD) המנוהל על ידי NIST (המכון הלאומי לתקנים וטכנולוגיה), שהוא סוכנות לא רגולטורית של מחלקת המסחר של ארצות הברית.

פגיעויות ידועות לעומת לא ידועות

פגיעויות ידועות

פגיעויות שארגוני אבטחה וחוקרים מודעים להן ויכולים לספק תיקונים כדי לטפל בפגיעויות.

הפגיעויות הידועות כבר מפורסמות לעיתים קרובות במאגרי מידע כמו CVE או NVD.

דוגמה:

CVE-2017-5638 — הפגיעות של Apache Struts שנוצלה בפרצת Equifax (2017).

פגיעויות לא ידועות (Zero-Day)

אלו הם פגמים שלא התגלו או לא פורסמו; הם קיימים בתוכנה אך עדיין לא מתועדים במאגרי CVE.

תוקפים יכולים לנצל אותם לפני שהספק משחרר תיקון. זהו פגם שהוא מאוד מסוכן.

דוגמה:

פגיעות בדפדפן מנוצלת על ידי תוקפים לפני ש-Google או Microsoft משחררות תיקון.

מונחים קשורים

  • NVD (מאגר הפגיעויות הלאומי)
  • CVSS (מערכת דירוג פגיעויות משותפת)
  • פגיעות יום אפס
  • ניצול
  • ניהול תיקונים
  • ניהול פגיעויות
  • מיפוי חולשות משותף (CWE)

שאלות נפוצות: CVE

מהו מזהה CVE?

מזהה CVE הוא מזהה ייחודי המוקצה לפגיעות שפורסמה בפומבי (לדוגמה, CVE-2025-01234).

מי מתחזק את מערכת CVE?

תוכנית CVE מנוהלת על ידי תאגיד MITRE, בפיקוח מועצת CVE ובמימון סוכנויות ממשלתיות בארה”ב כמו מחלקת ביטחון המולדת (DHS) ו-CISA.

האם כל הפגיעויות רשומות ב-CVE?

לא. רק פגיעויות ידועות בפומבי מקבלות מזהי CVE. פגיעויות לא ידועות או פגיעויות יום אפס עדיין לא רשומות.

איך CVE ו-CVSS קשורים?

CVE מזהה את הפגיעות; CVSS (מערכת דירוג פגיעויות משותפת) מודדת את חומרתה.

השלבים הבאים

מוכן לאבטח את היישומים שלך? בחר את הדרך שלך קדימה.

התחל ניסיון חינם

נסה את Plexicus ללא סיכון למשך 14 ימים

צפה בתמחור

תמחור שקוף לצוותים בכל הגדלים

הצטרף לקהילה

הצטרף לקהילה הגלובלית שלנו

קרא את התיעוד

קרא את התיעוד המקיף שלנו

הצטרף ל-500+ חברות שכבר מאבטחות את היישומים שלהן עם Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready