什么是CVE

最新推荐文章于 2025-12-20 20:32:54 发布
原创 最新推荐文章于 2025-12-20 20:32:54 发布 · 630 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #CVE

文章目录

在这里插入图片描述
在这里插入图片描述

CVE(Common Vulnerabilities and Exposures)的全称是公共漏洞和暴露,是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取漏洞的详细信息,进而根据漏洞评分确定漏洞解决的优先级。
在CVE中,每个漏洞按CVE-1999-0067、CVE-2014-10001、CVE-2014-100001这样的形式编号。CVE编号是识别漏洞的唯一标识符。CVE编号由CVE编号机构(CVE Numbering Authority,CNA)分配,CVE编号机构主要由IT供应商、安全厂商和安全研究组织承担。

CVE如何形成的

CVE漏洞信息由CVE组织机构的网站承载(https://cve.mitre.org/),CVE这个组织最初由麻省理工学院在1999年建立,是一个非营利性组织。网站上的CVE信息是公开的,可以在法律许可前提下免费使用。

每个漏洞都被分配一个称为CVE标识符的编号,编号格式为“CVE-年份-编号”,例如CVE-2019-0708代表远程桌面服务远程代码执行漏洞。

CVE的发布主体是CVE编号机构(CVE Numbering Authority,CNA),当前大约有100个CNA,由来自世界各地的IT供应商、安全公司和安全研究组织组成。任何机构或个人都可以向CNA提交漏洞报告,CNA对应的组织往往也会鼓励人们寻找漏洞,以增强产品的安全性。

不是所有漏洞都能被录入CVE,CNA主要根据如下规则判定是否为漏洞分配CVE编号:

  • 漏洞可独立修复,与其他漏洞没有耦合。
  • 软件或硬件供应商承认此漏洞的存在或有书面公告。
  • 漏洞只影响一个代码库,如果漏洞影响多个产品,则为每个产品独立分配CVE编号。

经过上述判断,如果可以分配编号则编写描述信息并发布到CVE网站。每个CVE条目主要包含以下信息:

  • 描述:漏洞的来源、攻击方式等简要描述。
  • 参考:漏洞的相关参考信息链接汇总,例如供应商的漏洞公告、紧急响应建议等。
  • 发布的CNA:发布此CVE的CNA。
  • 发布日期:此CVE的发布日期。

综上,CVE机构通过与CNA合作,识别、定义、公开发布网络安全漏洞,形成漏洞信息行业标准。

CVE有什么作用

如果没有CVE,每个IT供应商或安全组织都维护自己的漏洞数据库,数据无法共享,大家对漏洞的认识也不统一。CVE为漏洞赋予唯一编号并标准化漏洞描述,主要作用如下:

  • IT人员、安全研究人员基于相同的语言理解漏洞信息、确定修复漏洞的优先级并努力解决漏洞。
  • 不同的系统之间可以基于CVE编号交换信息。
  • 安全产品或安全工具开发者可以将CVE作为基线,评估产品的漏洞检测覆盖范围。

有的人可能会认为公开披露漏洞会给黑客带来可乘之机,黑客会利用这些漏洞发起攻击。其实利大于弊,首先CVE只公开已知的漏洞,不管是否有CVE,黑客都能获取漏洞信息;其次漏洞详细信息和修复建议可以暂时隐藏,只分配编号,直到IT供应商发布补丁等修复程序;最后漏洞信息在整个行业的共享可以加快修复建议的推出。

建议在安全产品或工具的安全事件报告等内容中包含CVE编号信息,这样使用该安全产品或工具的人员可以迅速获取网络中存在的漏洞信息,并根据漏洞修复建议解决问题。

当然CVE网站中的信息比较简要,CVE主要用于给漏洞指定身份。更多的修复建议、影响、评分等信息需要直接到IT供应商网站、其他漏洞数据库获取。但是不可否认,CVE编号是这些信息的串联者,基于CVE编号可以快速检索到漏洞信息。

CVE与CVSS的关系

通用漏洞评估系统(Common Vulnerability Scoring System,CVSS)是广泛应用的漏洞评分开放标准。CVSS的分值代表漏洞的严重程度,分值范围为0.0到10.0,数字越大漏洞的严重程度越高。CVSS评分往往是漏扫工具、安全分析工具不可或缺的信息。

CVE单纯是漏洞的字典库,CVE列表中不包含CVSS分值,需要使用其他漏洞管理系统(例如查阅CVSS分值)。IT人员结合CVE信息和CVSS确定漏洞解决优先级。

CVE在安全产品中的应用

安全产品在开发过程中需要紧跟CVE漏洞信息,使产品尽可能多地检测CVE漏洞,保护用户网络安全。

根据CVE信息快速更新签名库

IPS功能基于签名库检测入侵行为,签名库中签名的一类主要来源就是漏洞签名。安全团队使用CVE跟踪最新漏洞,快速推出新签名,甚至在IT供应商推出修复程序之前阻断攻击保护用户网络。

日志报表集成CVE信息

在入侵事件的日志报表中,攻击详情中包含漏洞对应的CVE编号、参考链接,用户可以据此深入了解漏洞详细信息并制定安全措施。

在这里插入图片描述

日志报表中的CVE信息

安全中心发布IPS威胁知识库

安全中心基于CVE、CVSS评分等信息向用户发布更详细的IPS威胁知识库,其中包括漏洞级别、修复建议等信息。

在这里插入图片描述

IPS威胁知识库

在这里插入图片描述

CVE-2024-9413】SCP-Firmware漏洞:安全通告
AI-安全-功耗
11-21 1180
在SCP固件中发现了一个漏洞,如果利用该漏洞,可能会允许应用处理器(AP)在系统控制处理器(SCP)固件中导致缓冲区溢出。
精选资源
CVE
02-14
**CVE(Common Vulnerabilities and Exposures)**是信息技术安全领域的一个重要概念,它代表了“常见漏洞和暴露”。这个术语通常与网络安全、软件安全以及系统漏洞管理紧密相关。CVE系统由非营利组织MITRE维护,...
「 网络安全常用术语解读 」通用漏洞披露CVE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-04 1万+
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。当前CVE累计收录了19万+个安全漏洞。
什么是CVE?常见漏洞和暴露列表概述
Trinity_Techologies的博客
05-18 1万+
常见漏洞和暴露(Common Vulnerability and Exposures,简称CVE)收集了已知的网络安全漏洞和暴露,以帮助您更好地保护您的嵌入式软件。 在这里,我们会阐释什么是CVECVE列表中包括哪些内容,以及它如何帮助确保您的软件是安全的。
学习黑客5 分钟读懂什么是 CVE
qq_41179365的博客
05-09 1440
CVE(Common Vulnerabilities and Exposures) 是一种公开漏洞编号标准,用于统一标识和共享安全漏洞。名称解释CVE发布机构MITRE(美国非营利组织)目的统一编号,避免重复、混淆应用场景漏洞管理、威胁情报、渗透测试、补丁跟踪。
精选资源
CVE-2024-53677
12-17
CVE-2024-53677 – 关键的 Apache Struts 远程代码执行漏洞 已在流行的 Apache Struts 框架中发现了一个严重漏洞 CVE-2024-53677,该漏洞可能允许攻击者远程执行任意代码。该漏洞是由文件上传逻辑中的缺陷引起的,...
精选资源
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835
06-20
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835, CVE-2011-0838, CVE-2011-0848, CVE-2011-0870, CVE-2011-0876, CVE-2011-0879, CVE-2011-0880, CVE-2011-2230, CVE-2011-2231, CVE-2011...
精选资源
cve-check:检查系统软件包以获取已知的CVE
04-28
**CVE检查:保护系统安全的关键步骤** CVE,全称为“Common Vulnerabilities and Exposures”,是一种全球公认的系统漏洞和暴露的命名标准。它为安全研究人员、开发者和安全工具提供了一个通用的语言来描述和交流...
weblogic 漏洞统计 CVE
09-18
14. CVE-2014-3566、CVE-2015-0449、CVE-2014-6569、CVE-2013-2186、CVE-2017-3248、CVE-2011-1411、CVE-2011-5035:这些早期的CVE编号显示了WebLogic历史上存在的安全问题,需要定期评估系统的安全状态,并进行必要...
Weblogic、CVE-2017-10271
01-03
weblogic打补丁操作步骤 主义更换路径!攻击者针对WebLogicWLS组件中存在的CVE-2017-10271远程代码执行漏洞,构造请求对运行的WebLogic中间件主机进行攻击,由于该漏洞利用方式简单,且能够直接获取目标服务器的控制权限,影响范围较广,近期发现此漏洞的利用方式为传播虚拟币挖矿程序,不排除会被黑客用于其他目的的攻击。
CVE-2024-2961:将phpfilter任意文件读取提升为远程代码执行(RCE)
小司机的奥拓
06-06 3699
在nvd网站上是这样描述的:谷歌翻译过来就是:GNU C 库 (也就是glibc)2.39 及更早版本中的 iconv() 函数在将字符串转换为 ISO-2022-CN-EXT 字符集时,可能会使传递给它的输出缓冲区溢出最多 4 个字节,这可能会导致应用程序崩溃或覆盖相邻变量。缓冲区溢出是二进制安全研究领域里很常见的漏洞。所谓缓冲区溢出是指当一段程序尝试把更多的数据放入一个缓冲区,数据超出了缓冲区本身的容量,导致数据溢出到被分配空间之外的内存空间,使得溢出的数据覆盖了其他内存空间的数据。
CVE-2017-11907
如鹿渴慕泉水的专栏
08-13 488
// OxidResolver.cpp : Defines the entry point for the console application. // #pragma once //#include "targetver.h" #define RPC_USE_NATIVE_WCHAR #include <stdio.h> #include <tchar.h
利用最新Apache解析漏洞(CVE-2017-15715)绕过上传黑名单
热门推荐
大方子
08-25 2万+
我在代码审计知识星球里提到了Apache最新的一个解析漏洞(CVE-2017-15715): 除了帖子中说到的利用方法,我们还可以利用这个漏洞来绕过上传黑名单限制。 目标环境 比如,目标存在一个上传的逻辑:   <?php if(isset($_FILES['file'])) { $name = basename($_POST['name']); $ext =...
cve-2018-2894简析
一个安全研究员
05-27 2466
如题
CVE是什么东东?
liuzhen007的专栏
11-10 1万+
目录 前言 正文 一、CVE是什么意思 二、CVE是谁颁布的 三、成为CVE需要满足的条件 前言 CVE是什么意思?总是在一些官方通告中看到,比如Electron官网就总能看到这样的描述,如下所示: 正文 一、CVE是什么意思 CVE 的全拼是Common Vulnerabilities and Exposures,意思是通用漏洞披露,用来表示一种漏洞的特定编号。 二、CVE是谁颁布的 CVE是由 MITRE Corporation(一个向美国政府提供系统工程、研究 开发和.
PDF漏洞(CVE-2018-12794)浅析
weixin_33757911的博客
05-08 877
漏洞简介 CVE-2018-12794属于类型混淆漏洞,产生漏洞原因是通过构建XML数据包(XML Data Package,XDP)模版,并对XML表单体系结构(XML Forms Architecture,XFA)对象执行某些JavaScript操作,***者就可以强制Adobe Reader从模版对象的边界引用数据。 2018年7月份,Adobe补丁更新: 漏洞基本信息 漏洞ID:CVE-...
高压线防外破警示灯:电力安全与智能预警的守护者
ShenZhenDingYue的博客
12-19 681
高压输电线路防外破智能预警系统已成为现代电网安全防护的重要装备。该系统集雷达探测、AI识别、声光报警与远程通讯于一体,通过24小时主动监测线路通道内的机械入侵行为,实现风险分级预警。相比传统警示牌,其优势在于:主动交互式警示(爆闪灯+语音)、多传感器融合(雷达+激光+电场感应)降低误报率、实时数据上传形成闭环管理。典型应用场景包括施工区、交通跨越段及农林作业区。选购时需关注感应距离、供电续航、防护等级等关键指标。该系统正从单一设备向与无人机、卫星联动的综合防御体系发展,是电网安全从"人防&quot
网络安全中级阶段学习笔记(十):upload靶场实战(17关以及问题解决)
最新发布
2501_91976946的博客
12-20 602
本文介绍了upload靶场第17关的解题过程,重点探讨了绕过二次渲染的方法。作者最初尝试使用png图片木马失败,后发现只有gif图片才能找到未被渲染修改的相同编码区域。通过对比原图与渲染后图片的Hex码,找到不受影响的区域并替换为木马代码。具体步骤包括:上传gif图片马、下载渲染后的图片、用EmEditor工具对比编码、在相同区域插入木马代码并保持格式一致,最后重新上传修改后的文件。该方法成功绕过了二次渲染的防护机制,实现了文件包含漏洞的利用。
什么是CVE公告
03-27
<think>好的,用户之前询问了如何进行漏洞挖掘,现在又问到什么是CVE公告。我需要先理解CVE的概念,以及它和漏洞挖掘之间的关系。用户可能是在学习信息安全,特别是在漏洞管理方面,或者他们可能参与漏洞挖掘,需要了解如何跟踪已公开的漏洞。 首先,CVE是通用漏洞披露的缩写,由MITRE公司维护。它是一个公开的漏洞数据库,每个漏洞有唯一的编号。用户可能需要知道CVE的作用,比如在漏洞披露流程中如何引用,或者如何查找已知漏洞的信息。 接下来,用户可能想知道CVE的结构,比如CVE编号的格式,例如CVE-2024-1234,以及每个部分代表什么。这有助于他们在研究或报告漏洞时正确引用。 用户还可能关心CVE的发布流程,从发现漏洞到分配编号,再到公开的过程。这里需要解释CVE编号机构(CNA)的角色,以及不同机构如何协作。例如,厂商、研究机构或MITRE自己都可以作为CNA。 另外,用户可能想知道如何利用CVE公告进行漏洞管理,比如在补丁发布前如何应对,或者如何参考CVE信息来加强系统安全。这部分需要说明CVE的价值,例如标准化漏洞标识,促进信息共享,帮助安全团队优先处理漏洞等。 还要考虑到用户可能的实际应用场景。比如,如果他们正在做漏洞挖掘,了解CVE可以帮助他们避免重复劳动,确保他们发现的漏洞是新的。此外,作为安全研究人员,他们可能需要通过CVE来正式披露自己发现的漏洞,因此了解流程很重要。 可能需要提到CVE的局限性,比如并非所有漏洞都会被收录,或者某些漏洞信息可能不够详细。这样用户能全面理解CVE的作用和适用范围。 最后,用户可能想知道如何访问和搜索CVE数据库,比如通过官方网站或第三方平台如NVD。提供一些具体例子或工具,可以增加回答的实用性。 总结来说,回答需要涵盖CVE的定义、结构、流程、应用场景以及相关资源,同时结合用户之前的漏洞挖掘问题,强调CVE在漏洞管理和研究中的重要性。</think>### CVE公告详解 **CVE**(Common Vulnerabilities and Exposures,通用漏洞披露)是国际公认的漏洞标准化标识体系,由非营利组织 **MITRE Corporation** 维护。其核心功能是为公开的网络安全漏洞提供唯一标识符和标准化描述,形成全球统一的漏洞管理框架。 --- ### 一、CVE基础定义 1. **标识结构** 每个漏洞的命名遵循固定格式: $$CVE\text{-}年份\text{-}序列号$$ 例如:`CVE-2024-1234` 表示2024年登记的第1234号漏洞。 2. **核心要素** - **唯一性**:全球范围内无重复编号 - **中立性**:不评价漏洞危害等级(需结合CVSS评分) - **开放性**:数据公开可查(官网:https://cve.mitre.org) --- ### 二、CVE发布流程 1. **漏洞发现** 由安全研究人员、厂商或自动化工具识别潜在漏洞。 2. **申请CVE-ID** 通过 **CNA**(CVE编号机构,全球约300家)提交申请: - **厂商CNA**:微软、谷歌等 - **国家CNA**:中国国家信息安全漏洞库(CNNVD) - **研究机构CNA**:MITRE自身 3. **审核与发布** CNA验证漏洞真实性后分配编号,72小时内同步至全球数据库。 --- ### 三、CVE公告内容 典型条目包含以下关键信息: | 字段 | 说明 | 示例 | |---------------------|--------------------------------------|-----------------------------------| | **CVE-ID** | 漏洞唯一标识符 | CVE-2024-1234 | | **描述** | 漏洞技术细节与影响范围 | "Linux内核内存越界写入漏洞..." | | **参考链接** | 补丁、分析报告或PoC地址 | [NVD链接]、[GitHub Commit] | | **CVSS评分** | 漏洞严重性量化指标(0-10分) | CVSS 3.1: 9.8(严重) | --- ### 四、CVE的应用场景 1. **漏洞管理** - 安全团队通过CVE编号快速定位补丁(如微软MSRC公告引用CVE-2024-XXXX) - 企业资产扫描工具(Nessus、OpenVAS)依赖CVE数据库匹配已知漏洞 2. **研究协作** - 学术论文和漏洞报告通过CVE标识实现标准化引用 - 漏洞赏金平台(HackerOne)要求提交漏洞时关联CVE-ID 3. **合规要求** - 金融、医疗等行业需按PCI DSS、HIPAA等标准跟踪相关CVE修复进度 --- ### 五、CVE与NVD的关系 - **NVD**(美国国家漏洞数据库)是CVE的增强型数据库,提供: - 漏洞的 **CVSS评分** - 受影响产品清单(CPE匹配) - 修复时间线可视化 公式化关联: $$NVD = CVE + 元数据扩展 + 分析工具$$ --- ### 六、CVE的局限性 1. **覆盖不全** 部分0day漏洞在未公开前无CVE编号(需通过威胁情报平台追踪) 2. **信息延迟** 从漏洞提交到CVE发布平均需 **5-7个工作日** 3. **厂商差异** 某些厂商(如苹果)倾向于自行披露漏洞后才同步CVE --- ### 七、实践建议 1. **漏洞研究者** - 发现新漏洞后,通过CNA申请CVE-ID以规范披露 - 定期订阅CVE公告邮件(如MITRE CVE List) 2. **企业防御者** - 使用 **Vulnerability Management Platform**(如Tenable.io)关联资产与CVE - 制定补丁优先级策略: $$优先级 = CVSS评分 \times 资产暴露面$$ 3. **开发者** - 在代码注释中标注修复的CVE编号(示例): ```java // Fixed CVE-2024-5678: SQL injection in user input validation PreparedStatement stmt = conn.prepareStatement("SELECT * FROM users WHERE id=?"); ``` --- ### 八、扩展资源 - **官方入口** [CVE官网](https://cve.mitre.org) | [NVD数据库](https://nvd.nist.gov) - **中文支持** [CNNVD](https://www.cnnvd.org.cn)(中国国家漏洞库) - **API集成** 通过RESTful API(如`https://services.nvd.nist.gov/rest/json/cves/2.0`)实现自动化查询 通过CVE体系,全球安全社区得以在统一框架下协作,显著提升了漏洞响应效率。据统计,2023年CVE收录漏洞数达28,902个(数据来源:NIST),较2016年增长317%,凸显其作为网络安全基础设施的核心地位。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RZer

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值