Le Common Vulnerabilities and Exposures (CVE) sono un insieme di identificatori univoci assegnati a vulnerabilità di sicurezza note che colpiscono software, hardware o firmware. Si tratta di un sistema di catalogazione pubblica nato per offrire un linguaggio condiviso e standardizzato per descrivere debolezze e difetti informatici che possono essere sfruttati da attori malevoli per compromettere la sicurezza di un sistema. Ogni voce CVE è accompagnata da una breve descrizione del problema, un identificatore univoco (ad esempio, CVE-2023-12345) e, talvolta, riferimenti a database di sicurezza, bollettini dei produttori o strumenti di mitigazione.
Le CVE non vanno confuse con le CWE (Common Weakness Enumeration): mentre le CVE rappresentano esempi concreti di vulnerabilità specifiche, le CWE costituiscono una tassonomia delle categorie astratte di debolezze nel design o nell’implementazione del software. Una CWE descrive il tipo di errore che è stato commesso, mentre una CVE individua “dove” quell’errore si è verificato in un prodotto reale. Si può dire quindi che le CWE forniscono il quadro teorico e le CVE la relativa espressione pratica nel mondo reale.
Il sistema CVE è un elemento cruciale per il settore della sicurezza informatica. Esso, infatti, costituisce la base comune per il monitoraggio e la gestione delle vulnerabilità, quindi facilita la comunicazione tra esperti, produttori di software, ricercatori di sicurezza, enti governativi e utenti finali. Le CVE sono utilizzate nei sistemi di gestione delle vulnerabilità (Vulnerability Management Systems), nei controlli di conformità normativa (ISO/IEC 27001, ecc.) e nei penetration test.