O Common Vulnerabilities and Exposures (CVE) é um banco de dados que registra vulnerabilidades e exposições relacionadas a segurança da informação conhecidas publicamente. O sistema é mantido pela National Cybersecurity FFRDC, operado pela MITRE Corporation, com financiamento da National Cyber Security Division do Departamento de Segurança Interna dos Estados Unidos.[1] O sistema foi lançado oficialmente para o público em setembro de 1999.[2]
Vulnerabilidades conhecidas publicamente em softwares publicamente disponíveis recebem um identificador único, conhecido como identificador CVE, nome CVE, número CVE, CVE-ID ou simplesmente CVE.
Os CVEs são atribuídos por uma Autoridade de Numeração CVE (CNA)[3], que pode ser a Mitre (CNA principal), as próprias fornecedoras dos produtos (exemplo Microsoft, RedHat, Oracle, HP, etc) ou um coordenador terceirizado.
Em determinados casos um número CVE pode levar certo tempo até ser tornado público. Este tempo pode ser dias, semanas, meses ou até mesmo anos.
A partir de 2015 o número CVE passou a ter o formato: prefixo CVE + ano + quatro ou mais dígitos arbitrários.
Além do identificador os registros CVEs possuem a descrição do incidente e referências.
Geralmente é atribuído um identificador CVE para cada incidente de segurança. No entanto em determinados casos é necessário dividir ou agrupar identficadores. [4]
O banco de dados Mitre CVE pode ser pesquisado em CVE List Search, e o banco de dados Nacional de Vulnerabilidades CVE (dos Estados Unidos) pode ser pesquisado em CVE e CCE Vulnerability Database .
CVE is sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security.