O que é CVE (vulnerabilidades e exposições comuns)?

6 de fevereiro de 2026

O Common Vulnerabilities and Exposures (CVE) é um sistema padronizado para identificar e catalogar vulnerabilidades de segurança cibernética publicamente conhecidas.

O que é CVE?

Qual o significado de CVE?

O Common Vulnerabilities and Exposures (CVE) é um sistema público e padronizado de identificação de vulnerabilidades e exposições. cíber segurança vulnerabilidades, onde cada entrada atribui um ID único (o identificador CVE) a um problema de segurança específico e divulgado publicamente. Um registro CVE funciona como um rótulo de referência consistente que ferramentas de segurança, avisos, remendo As anotações e os relatórios de incidentes podem apontar para a mesma falha subjacente, de modo que todos estão falando sobre ela, mesmo quando os fornecedores ou os produtos a descrevem de forma diferente.

É importante ressaltar que uma entrada CVE não é uma pontuação de gravidade ou uma correção em si. Em vez disso, é uma entrada de índice que normalmente inclui uma breve descrição e referências a fontes confiáveis ​​(como avisos de fornecedores ou análises técnicas), permitindo que as organizações rastreiem os produtos afetados, mapeiem o problema para ativos internos, priorizem a correção e verifiquem se estão expostos.

Como funciona o CVE?

O CVE funciona transformando uma vulnerabilidade relatada em uma vulnerabilidade. vulnerabilidade em um registro padronizado que todo o ecossistema de segurança possa consultar, para que ferramentas e equipes possam rastrear o mesmo problema de forma consistente, desde a sua divulgação até a sua resolução. Veja exatamente como funciona:

  1. Uma possível vulnerabilidade foi encontrada e relatada. Pesquisadores, fornecedores ou usuários identificam uma falha de segurança e compartilham detalhes suficientes para descrever o que é afetado e por que isso é importante, o que inicia o processo formal de rastreamento.
  2. Uma Autoridade de Numeração CVE (CNA) analisa o relatório. A CNA (geralmente o fornecedor ou uma organização coordenadora) valida se representa uma vulnerabilidade distinta e reúne as informações mínimas necessárias para identificá-la claramente.
  3. Um ID CVE foi reservado e atribuído. A CNA reserva um identificador único (por exemplo, CVE-YYYY-NNNNN), que fornece a todos um ponto de referência estável enquanto a análise e a coordenação continuam.
  4. A vulnerabilidade foi identificada e documentada. Os produtos/versões afetados, a natureza da falha e referências confiáveis ​​são esclarecidos, o que reduz a confusão e ajuda os consumidores subsequentes a mapear o problema em sistemas reais.
  5. O registro CVE é publicado na lista CVE. A entrada torna-se publicamente visível no catálogo central, permitindo que ferramentas de segurança e ferramentas de vulnerabilidade a detectem. bases de dadose feeds de aconselhamento.
  6. A gravidade e a explorabilidade são avaliadas em outro local (geralmente por meio do CVSS). A pontuação e análises mais detalhadas são normalmente fornecidas por fornecedores, NVD ou outras fontes, o que ajuda as organizações a priorizar a aplicação de patches, mesmo que isso seja independente do próprio ID CVE.
  7. As organizações usam o ID CVE para direcionar a correção e a verificação de vulnerabilidades. As equipes associam as CVEs aos ativos, aplicam correções ou medidas de mitigação e, em seguida, confirmam se a exposição foi resolvida, usando a CVE como referência comum em todos os scanners, chamados e relatórios.

Formato CVE

Um identificador CVE é escrito no formato CVE-YYYY-NNNNN (sendo a última parte por vezes mais longa), onde cada elemento contribui para tornar a identificação única e fácil de referenciar. Eis o que inclui:

  • CVE: o prefixo que o identifica como um ID de Vulnerabilidades e Exposições Comuns.
  • AAAA: o ano em que o ID CVE foi atribuído ou reservado (não necessariamente o ano em que o bug foi descoberto ou divulgado publicamente).
  • NNNNN…: uma sequência numérica que identifica exclusivamente a vulnerabilidade naquele ano. É pelo menos quatro dígitos e pode ser mais de quatro (Atualmente não há um comprimento máximo fixo), o que permite a emissão de muitos documentos de identidade em um único ano.

Exemplo: CVE-2024-3094.

Qual é um exemplo de vulnerabilidade e exposição comum?

exemplo cve

Um exemplo bem conhecido é Log4Shell (CVE-2021-44228), uma crítica execução remota de código Vulnerabilidade na biblioteca de registro Java Apache Log4j que permitia que atacantes acionassem o carregamento e a execução de código controlado pelo atacante no aplicativo, enviando uma string especialmente criada que o Log4j interpretava (geralmente por meio de entradas registradas).

O que se qualifica como uma vulnerabilidade e exposição comum?

Uma CVE é atribuída quando existe uma vulnerabilidade distinta e relevante para a segurança que pode ser claramente descrita e rastreada como um problema próprio, normalmente uma falha em um produto/código-fonte específico que pode ser explorada para causar impacto negativo (por exemplo, para confidencialidade, integridade ou disponibilidadeAs CNAs estão autorizadas a atribuir IDs CVE para vulnerabilidades dentro do seu escopo definido e a publicá-los no primeiro anúncio público.

Na prática, um problema geralmente se qualifica quando atende a todas essas condições:

  • Representa uma vulnerabilidade identificável (e não uma classe vaga de problemas).
  • Há informações suficientes para escrever uma descrição significativa e indicar referências confiáveis.
  • O documento passa pelo processo de decisão de inclusão da CNA (caso contrário, pode ser rejeitado por não atender aos requisitos ou por ter sido relatado incorretamente).

Sistema de pontuação de vulnerabilidade comum (CVSS)

O Sistema Comum de Pontuação de Vulnerabilidades (CVSS) é um padrão aberto para descrever a gravidade técnica de uma vulnerabilidade de forma consistente e gerar uma pontuação numérica de 0.0 a 10.0, frequentemente associada a rótulos como Baixo/Médio/Alto/CríticoTem como objetivo ajudar as equipes a comparar vulnerabilidades usando o mesmo critério, mas não é a mesma coisa que risco, porque o risco depende do ambiente, da exposição e do impacto nos negócios.

O CVSS funciona selecionando valores para um conjunto definido de métricas e combinando-os em uma pontuação. No CVSS v3.x, as métricas são agrupadas em Básicas, Temporais e Ambientais. No CVSS v4.0, os grupos são Básicas, de Ameaça, Ambientais e Suplementares, refletindo uma separação mais clara entre “gravidade intrínseca”, “fatores que mudam ao longo do tempo” e “seu contexto local”.

Como as CVEs são identificadas?

As CVEs são identificadas por meio de um processo coordenado, no qual um relatório de vulnerabilidade real é revisado e, em seguida, recebe uma classificação. ID CVE exclusivo por uma organização autorizada, para que todos possam se referir à mesma questão de forma consistente. Veja como identificá-la:

  1. Uma vulnerabilidade é descoberta e relatada ao fornecedor afetado ou a uma Autoridade de Numeração CVE (CNA) (uma organização autorizada a atribuir IDs CVE).
  2. A CNA valida e delimita o problema, confirmando que ele representa uma vulnerabilidade distinta e reunindo detalhes suficientes para descrevê-lo e fornecer links para referências confiáveis.
  3. Um ID CVE é reservado/atribuído (por exemplo, CVE-2026-12345), o que cria um identificador estável que ferramentas, avisos e chamados podem usar, mesmo enquanto os detalhes ainda estão sendo finalizados.
  4. O registro CVE é publicado quando a CNA o preenche (descrição + referências), movendo-o de um estado "RESERVADO" para uma entrada pública na Lista CVE.
  5. Caso a questão não se enquadre nos critérios ou seja retirada por qualquer outro motivo, o registro pode ser marcado como REJEITADO em vez de ser publicado como um CVE válido.

Benefícios e limitações do CVE

O CVE facilita o rastreamento e a comunicação de vulnerabilidades, atribuindo a cada problema um ID consistente que pode ser referenciado por ferramentas, fornecedores e equipes de segurança. Ao mesmo tempo, o CVE é apenas um sistema de identificação, portanto, não garante cobertura completa, não fornece uma correção e não reflete o risco real de uma vulnerabilidade em seu ambiente específico.

Vulnerabilidades e Exposições Comuns Benefícios

O CVE fornece uma maneira compartilhada de referenciar vulnerabilidades, o que reduz a ambiguidade e ajuda a agilizar o trabalho de segurança entre fornecedores, ferramentas e equipes. Os principais benefícios incluem:

  • Nomenclatura padronizada em todo o ecossistema. Um único ID CVE evita confusões causadas por diferentes nomes de fornecedores ou múltiplas descrições do mesmo problema, tornando a comunicação e os relatórios consistentes.
  • Rastreamento mais fácil desde a descoberta até a remediação. Os IDs CVE funcionam como identificadores duráveis ​​que você pode usar em chamados, notas de atualização e auditorias para acompanhar um problema durante a investigação, mitigação e verificação.
  • Melhor interoperabilidade entre ferramentas de segurança. Scanners, SIEMAs plataformas SOAR, CMDBs e bancos de dados de vulnerabilidades podem usar o mesmo ID CVE como chave, melhorando a correlação e reduzindo o trabalho duplicado.
  • Inteligência e coordenação de vulnerabilidades mais rápidas. Avisos públicos, descrições de vulnerabilidades e boletins de fornecedores podem ser vinculados por meio do registro CVE, ajudando as equipes a obter contexto rapidamente sem precisar lidar com vários esquemas de nomenclatura.
  • Evidências de conformidade e auditoria mais claras. Quando as políticas exigem o rastreamento de vulnerabilidades conhecidas, os CVEs fornecem uma referência aceita que permite a elaboração de relatórios e a documentação consistentes.
  • Os resultados de priorização tornam-se mais confiáveis ​​quando combinados com pontuação e contexto. Os IDs CVE permitem combinar dados como CVSS, atividade de exploração, exposição de ativos e criticidade para os negócios, o que torna a priorização da remediação mais estruturada.

Vulnerabilidades e exposições comuns Limitações

O CVE é valioso para identificação e coordenação, mas possui limitações importantes quando se trata de priorizar e gerenciar riscos no mundo real. As limitações comuns são:

  • CVE é um sistema de identificação, não uma classificação de risco. Uma entrada CVE não indica a urgência da vulnerabilidade para o seu ambiente; você ainda precisa de contexto, como exposição, controles compensatórios e impacto nos negócios (frequentemente em conjunto com o CVSS e informações sobre ameaças).
  • A cobertura não é garantida. Nem todos os problemas de segurança recebem uma classificação CVE, especialmente falhas específicas de produtos que não são divulgadas publicamente, problemas fora do escopo da CNA ou vulnerabilidades que não atendem aos critérios de atribuição.
  • O nível de detalhamento das gravações pode ser mínimo ou irregular. Algumas descrições e referências de CVE são breves, e a profundidade/qualidade das informações varia de acordo com o fornecedor ou a CNA, o que pode dificultar a avaliação de impacto.
  • As entradas CVE não incluem correções por padrão. A CVE pode conter links para avisos, mas a disponibilidade de patches, medidas de mitigação e soluções alternativas são fornecidas pelos fornecedores e outras fontes, e não pelo próprio sistema CVE.
  • O cronograma pode estar atrasado em relação à atividade do mundo real. Uma vulnerabilidade pode ser explorada na prática antes da publicação de um CVE, ou um CVE pode ser reservado muito antes que todos os detalhes estejam disponíveis, criando lacunas para os defensores.
  • A granularidade do CVE nem sempre corresponde à forma como você aplica os patches. Uma única vulnerabilidade CVE pode afetar várias versões/produtos, e algumas correções resolvem várias vulnerabilidades CVE simultaneamente, portanto, a relação entre "CVE → ação de correção" nem sempre é direta.

Perguntas frequentes sobre CVE

Aqui estão as respostas para as perguntas mais frequentes sobre CVE.

CVE vs. CWE

AspectoCVE (vulnerabilidades e exposições comuns)CWE (Enumeração de Fraqueza Comum)
o que representaUma vulnerabilidade específica e real que existe em um produto ou sistema.Uma classe geral de fragilidade no projeto ou implementação de software ou hardware.
Nível de abstraçãoConcreto e baseado em instâncias.Resumo e baseado em categorias.
Pergunta típica que responde“Qual é exatamente essa vulnerabilidade?”“Que tipo de erro causou essa vulnerabilidade?”
Formato do identificadorCVE-YYYY-NNNNNCWE-NNN
ObjetivoUma vulnerabilidade específica em um produto/versão específico.Um padrão de fragilidade recorrente que pode aparecer em muitos produtos.
Assinado porAutoridades de Numeração CVE (CNAs).Mantido e organizado pela MITRE.
Mudanças ao longo do tempoEstático após a publicação (pode ser atualizado ou rejeitado, mas ainda se refere ao mesmo problema).Taxonomia em constante evolução, à medida que novos tipos de fraqueza são adicionados ou refinados.
Usado com mais frequência paraRastreamento de vulnerabilidades, aplicação de patches, varredura, conformidade, resposta a incidentes.Design seguro, revisão de código, análise estática, formação de desenvolvedores.
Relação entre elesUma CVE pode ser mapeada para uma ou mais CWEs para explicar sua causa raiz.Um CWE pode estar ligado a muitos CVEs que compartilham a mesma vulnerabilidade subjacente.
ExemploCVE-2021-44228 (Log4Shell).CWE-502 (Desserialização de Dados Não Confiáveis).

Quem gerencia as CVEs?

As CVEs são gerenciadas pelo Programa CVE, supervisionado pelo Conselho CVE e operado no dia a dia pelo Secretariado CVE (atualmente a MITRE Corporation). Na prática, a maioria dos IDs e registros CVE são criados por uma rede global de Autoridades de Numeração CVE (CNAs), geralmente fornecedores e organizações de segurança autorizadas a atribuir IDs CVE dentro de um escopo definido, enquanto o Conselho fornece a governança do programa e o Secretariado apoia as operações, a qualidade e a coordenação.

Com que frequência as CVEs são atualizadas e publicadas?

As CVEs não seguem um ciclo de publicação semanal ou mensal. Elas são publicadas continuamente à medida que as Autoridades de Numeração de CVEs (CNAs) terminam de preencher e liberar registros para a Lista de CVEs oficial, e os registros individuais de CVE podem ser atualizados a qualquer momento se novos detalhes ou referências se tornarem disponíveis. Posteriormente, o Banco de Dados Nacional de Vulnerabilidades dos EUA (NVD) verifica a Lista de CVEs a cada hora para incorporar novas publicações, rejeições e modificações (mas as análises adicionais do NVD, como pontuação e enriquecimento, podem aparecer mais tarde).

Os dados do CVE são gratuitos?

Sim. Os dados do CVE são gratuitos e de acesso público para qualquer pessoa. O Programa CVE disponibiliza a Lista Oficial de CVEs sem taxas de licenciamento ou restrições de uso, permitindo que organizações, fornecedores de segurança, pesquisadores e indivíduos utilizem os IDs e registros do CVE em ferramentas, relatórios e serviços. Alguns bancos de dados de terceiros podem cobrar por análises com valor agregado (como enriquecimento, priorização ou painéis de controle), mas os dados do CVE em si são abertos.

Anastasia
Spasojevic
Anastazija é uma redatora de conteúdo experiente, com conhecimento e paixão por cloud computação, tecnologia da informação e segurança online. No phoenixNAP, ela se concentra em responder a questões candentes sobre como garantir a robustez e a segurança dos dados para todos os participantes do cenário digital.