什么是CVE（公共漏洞和暴露）？

CVE代表公共漏洞和暴露（Common Vulnerabilities and Exposures）。它是一个跟踪已知的公共网络安全漏洞的系统。

每个CVE记录都有自己的ID，例如CVE-2024-492881，并解释了软件、硬件或固件中的特定弱点，攻击者可能利用这些弱点来攻击系统。

CVE计划由MITRE公司启动，这是一家专注于网络安全和技术的美国联邦资助的非营利组织。今天，MITRE继续在CVE委员会的监督下管理CVE系统，该委员会包括安全专家、供应商和全球利益相关者。全球的组织、供应商、安全工具和研究人员使用CVE来跟踪漏洞和管理补丁。

CVE在网络安全中的重要性

在CVE出现之前，研究人员和组织依赖于各自的命名方案，这使得在不同工具和报告中跟踪漏洞变得困难。

CVE通过提供以下内容来解决这个问题：

• 每个漏洞的一致标识符
• 全球安全数据库的集中可见性
• 参与网络安全的供应商、研究人员和组织之间的更容易的合作。

CVE构成了安全工具的基础，如漏洞扫描器、SCA、ASPM和依赖于CVE ID来检测和优先处理风险的补丁管理系统。

CVE 如何工作？

每个 CVE 记录在漏洞数据库中包括：

• CVE ID - 漏洞的唯一标识符
• 描述 - 漏洞的解释
• 参考资料 - 提供关于漏洞详细信息的可信外部来源
• CVSS 评分 - 严重性评级，告诉您漏洞被利用时的严重性或影响。

所有 CVE 都公开存储在 cve.org 上，并在由 NIST（美国国家标准与技术研究院）维护的国家漏洞数据库 (NVD) 中镜像，NIST 是美国商务部的一个非监管机构。

已知与未知漏洞

已知漏洞

安全组织和研究人员已知晓并可以提供补丁来解决的漏洞。

已知漏洞通常已在 CVE 或 NVD 等数据库中发布。

示例：

CVE-2017-5638 — 在**Equifax 数据泄露（2017）**中被利用的 Apache Struts 漏洞。

未知（零日）漏洞

这些是未被发现或未披露的缺陷；它们存在于软件中，但尚未在 CVE 数据库中记录。

攻击者可以在供应商发布补丁之前利用它们。这是一个非常危险的缺陷。

示例：

攻击者在 Google 或 Microsoft 发布修复之前利用的浏览器漏洞。

相关术语

• NVD (国家漏洞数据库)
• CVSS (通用漏洞评分系统)
• 零日漏洞
• 利用
• 补丁管理
• 漏洞管理
• 通用弱点枚举 (CWE)

常见问题解答：CVE