(Common Vulnerabilities and Exposures).
Es una lista con fallas de seguridad, que permite a los especialistas identificarlas mediante un número de identificación único.
Los ID de CVE tienen el formato CVE-AAAA-NNNNN. La parte AAAA es el año en que se asignó el ID de CVE O el año en que se hizo pública la vulnerabilidad (si antes se asignara el ID de CVE).
La parte del año no se utiliza para indicar cuándo se descubrió la vulnerabilidad, sino solo cuando se hizo pública o se asignó.
Ejemplos:
- Se descubre una vulnerabilidad en 2016, y se solicita un ID de CVE para esa vulnerabilidad en 2016. El ID de CVE tendría la forma «CVE-2016-NNNN».
- Una vulnerabilidad se descubrió en 2015 y se hizo pública en 2016. Si se solicita el ID de CVE en 2016, el ID de CVE tendría la forma «CVE-2016-NNNNN».
- Se descubre una vulnerabilidad en 2015 y se solicita un ID de CVE en 2015. A la vulnerabilidad se le asigna «CVE-2015-NNNN» pero no se hace pública. (El ID de CVE aparecería como «Reservado» en la Lista de CVE). Sin embargo, el divulgador no publica el ID de CVE hasta 2017. En este caso, el ID de CVE sigue siendo «CVE-2015-NNNN», a pesar del hecho de que la vulnerabilidad no se hace pública hasta 2017.
- Una vulnerabilidad se descubre y publica en 2015 sin tener un ID de CVE asignado. Alguien solicita que se asigne un ID de CVE a la vulnerabilidad en 2016. La vulnerabilidad se da «CVE-2015-XXXX» desde que se hizo pública por primera vez en 2015.
¿Y qué significa el NNNNN?