Wprowadzenie
CVE (Common Vulnerabilities and Exposures) to globalny, publiczny system identyfikacji i katalogowania luk bezpieczeństwa w oprogramowaniu, sprzęcie i systemach. Każdy wpis CVE otrzymuje unikalny identyfikator w formacie CVE-YYYY-NNNNN (np. CVE-2024-12345).
Jak działa system CVE?
- Zarządzany przez organizację MITRE we współpracy z CNAs (CVE Numbering Authorities)
- Każda duża firma (Microsoft, Google, Apple, Red Hat, Oracle itp.) może być CNA
- Po odkryciu luki zostaje jej przypisany unikalny numer CVE
- Informacje są publicznie dostępne w bazie NVD (National Vulnerability Database)
CVSS – System oceny ciężkości
Każdej luce CVE przypisywany jest wynik CVSS (Common Vulnerability Scoring System) w skali 0.0–10.0:
- Critical – 9.0–10.0
- High – 7.0–8.9
- Medium – 4.0–6.9
- Low – 0.1–3.9
Znaczenie w cyberbezpieczeństwie
- Podstawa automatyzacji bezpieczeństwa (scanning, patch management)
- Standard komunikacji między zespołami bezpieczeństwa, dostawcami i regulatorami
- Podstawa regulacji (np. NIS2, SEC Cybersecurity Rules)
- Kluczowy element w procesie Vulnerability Management
Przykłady znanych CVE
- CVE-2024-3094 – backdoor w bibliotece xz-utils
- CVE-2021-44228 – Log4Shell
- CVE-2017-0144 – EternalBlue (użyty w WannaCry)
Powiązane pojęcia
NVD • CVSS • CWE (Common Weakness Enumeration) • EPSS • Zero-Day • Vulnerability Management • MITRE ATT&CK • Patch Management
Dodano: 16 maja 2026