El CVE (Vulnerabilidades y exposiciones comunes) es una repositorio público normalizado que identifica y cataloga de forma única vulnerabilidades de seguridad informática.
Cada entrada del CVE es una referencia normalizada incluyendo :
- Un identificador único (por ejemplo
CVE-2024-12345). - El descripción técnica vulnerabilidad.
- En referencias (enlaces a avisos, parches, análisis).
Objetivo servir como lenguaje universal identificar sin ambigüedades los fallos de seguridad, facilitando a investigadores, editores y organizaciones el intercambio de información.
Diferencias entre CVE y CVSS
| Criterios | CVE | CVSS |
|---|---|---|
| Naturaleza | Identificador vulnerabilidad. | Sistema de puntuación evaluar la gravedad. |
| Función | Responde a la pregunta "¿Cuál es el fallo?". | Responde a "¿Es muy grave?". |
| Formato | Texto ID (eg: CVE-2024-12345). |
Puntuación numérica (por ejemplo 9,8 Crítico). |
| Gobernanza | Gestionado por MITRE Corporación (con socios). | Gestionado por PRIMERO (Foro de Equipos de Respuesta a Incidentes y Seguridad). |
| Utilice | Una referencia común para un fallo. | Ayuda a priorizar los parches. |
en pocas palabras:
- CVE = "¿Cuál es el fallo?" → Documento de identidad vulnerabilidad.
- CVSS = "¿Qué tan peligrosa es?" → Escala Richter ciberriesgo.
Ejemplo
- CVE-2014-0160 (Heartbleed) :
- Descripción Vulnerabilidad en OpenSSL que permite leer la memoria de los servidores.
- Puntuación CVSS v3.1 : 7,5 (Alto)
- Vector de ataque Red (AV:N ).
- Impacto Fuga de información (C:H /I:L /A:N ).
Complementariedad
- CVE + CVSS = una alerta completa :
- El CVE identifica qué existe vulnerabilidad (ej :
CVE-2023-4863). - El CVSS dice por qué es peligroso (puntuación 8,8 = Alto riesgo).
- El CVE identifica qué existe vulnerabilidad (ej :
- Casos prácticos :
- Una empresa consulta la base de datos CVE para comprobar si sus sistemas están afectados.
- Utiliza la puntuación CVSS para decidir si el fallo debe corregirse urgentemente.
Cuestiones
- CVE :
- Exhaustividad: retrasos en el registro de vulnerabilidades día cero.
- Calidad: Descripciones a veces demasiado técnicas para los no expertos.
- CVSS :
- Subjetividad: Las puntuaciones pueden variar en función de la interpretación de las métricas.
- Limitaciones: No siempre refleja el riesgo real en su contexto (de ahí la importancia de las métricas). medio ambiente).
Herramientas asociadas
- CVE bases de datos como NVD (Base de datos nacional sobre vulnerabilidad).
- CVSS Calculadoras en línea (por ejemplo Calculadora CVSS de NVD).
