enespt-br
Glossary

CVE (Vulnerabilidades e Exposições Comuns)

Um identificador padronizado para vulnerabilidades de software divulgadas publicamente, atribuído e rastreado pelo NVD (National Vulnerability Database).

Definição

Um CVE (Vulnerabilidades e Exposições Comuns) é um identificador único para uma falha de segurança divulgada publicamente em software ou hardware. IDs CVE seguem o formato CVE-YYYY-NNNN, onde YYYY é o ano da divulgação e NNNN é um número sequencial.

Exemplo: CVE-2023-12345 é uma falha específica atribuída em 2023.

Por que CVEs Importam

CVEs habilitam comunicação padronizada sobre vulnerabilidades:

  • Rastreamento – Organizações podem rastrear se seus sistemas são afetados
  • Priorização – Patches são lançados em ordem de severidade
  • Coordenação – Fornecedores, pesquisadores e defensores usam a mesma referência
  • Inteligência – Inteligência de ameaças pode ligar ataques a CVEs específicos

Detalhes do CVE

Cada CVE inclui:

  • ID CVE – Identificador único
  • Descrição – O que é a vulnerabilidade e seu impacto
  • Score CVSS – Avaliação de severidade (0-10)
  • Software Afetado – Quais versões de quais produtos são vulneráveis
  • Referências – Links para patches de fornecedor e detalhes técnicos
  • Status – Não patchado, parcialmente patchado ou patchado

Ciclo de Vida do CVE

  1. Descoberta – Pesquisador encontra uma vulnerabilidade
  2. Divulgação Responsável – Pesquisador contata fornecedor
  3. Desenvolvimento de Patch do Fornecedor – Fornecedor desenvolve e testa uma correção
  4. Atribuição de CVE – ID CVE é atribuído
  5. Divulgação Pública – Detalhes são lançados; patch fica disponível
  6. Exploração Pública – Atacantes desenvolvem ferramentas para explorar a vulnerabilidade

O tempo entre divulgação e exploração pode variar de dias a meses.

Severidade e Priorização de CVE

Nem todos os CVEs são igualmente críticos:

  • CVSS 9-10 (Crítico) – Patching imediato necessário
  • CVSS 7-8.9 (Alto) – Patch dentro de dias ou semanas
  • CVSS 4-6.9 (Médio) – Patch dentro de semanas ou meses
  • CVSS 0-3.9 (Baixo) – Prioridade menor

Entretanto, contexto de ameaça importa mais do que scores CVSS. Um CVE de severidade média explorado por atores de ameaça ativos pode ser mais urgente do que um CVE crítico não explorado publicamente ainda.

Exemplo do Mundo Real

CVE-2023-34960 (Crítico):

  • Vulnerabilidade em software de servidor web amplamente utilizado
  • Score CVSS: 9.8 (Crítico)
  • Patch lançado imediatamente
  • Atores de ameaça exploram ativamente dentro de 48 horas
  • Organizações devem patchar urgentemente

Organizações que priorizam por CVSS isoladamente vão patchar este CVE imediatamente—corretamente.

CVE-2023-10001 (Crítico):

  • Vulnerabilidade em software empresarial de nicho
  • Score CVSS: 9.6 (Crítico)
  • Patch lançado
  • Sem atores de ameaça desenvolvendo exploits
  • Cenário de ameaça favorece outras vulnerabilidades

Organizações que priorizam por CVSS isoladamente vão patchar este igualmente urgentemente—o que desperdiça recursos quando CVE-2023-34960 está sendo ativamente explorado.

Melhor Priorização: CVSS + Contexto de Ameaça

Gerenciamento moderno de vulnerabilidades combina:

  1. Score CVSS – Severidade técnica
  2. Contexto de ameaça – Este CVE está sendo explorado?
  3. Criticidade do ativo – Quão importante é o sistema afetado?
  4. Exploitabilidade – Quão fácil é explorar?
  5. Impacto nos negócios – Quanto custaria o comprometimento deste ativo?

É por isso que threats.report prioriza CVEs não apenas por CVSS, mas por atividade real de exploração.

Veja também

Related Terms

VulnerabilidadeCVSS