CVE Common Vulnerabilities and Exposures
公开可访问的已知漏洞字典,每条漏洞一个全球唯一编号。
由 MITRE 维护,1999 年起。整个安全行业拿它当通用 ID——你跟同行说”CVE-2021-44228”,对方立刻知道是 Log4Shell,不用解释。
编号格式
CVE-<年份>-<序号>,例:
| CVE ID | 通俗名 | 影响 |
|---|---|---|
| CVE-2021-44228 | Log4Shell | Log4j RCE |
| CVE-2014-0160 | Heartbleed | OpenSSL 内存泄露 |
| CVE-2017-0144 | EternalBlue | SMB 蠕虫(WannaCry 用的) |
一条 CVE 的内容
- ID + 描述
- 受影响产品和版本范围
- 参考链接(厂商公告、PoC、补丁)
- 通常配 CVSS 评分
谁来发号
不是 MITRE 一家发——是分布式的 CNA 网络在分发。
CVE vs 其他
- CVE = 漏洞的”身份证号”,只标识,不评分
- CVSS = 给 CVE 打严重性分数(0-10)
- NVD = 美国政府的 CVE 数据库,在 CVE 基础上加分析和评分