CVE ou Common Vulnerabilities and Exposures é um programa internacional que identifica e publica vulnerabilidades no meio de cibersegurança. A iniciativa é administrada pela MITRE Corporation, e conta com o apoio de autoridades estadunidenses e empresas de hardware, software, redes e sistemas.

Falhas de seguranças descobertas são relatadas ao programa CVE. Então, empresas autorizadas pelo CVE (chamadas de CNAs) analisam e rotulam a vulnerabilidade. Geralmente, as publicações sobre essas falhas acontecem após a correção, de modo a evitar explorações.

A listagem dessas falhas facilita a identificação de vulnerabilidades, permitindo que pesquisadores e empresas se comuniquem mais assertivamente. Isso também evita a publicação duplicada de vulnerabilidades que já foram descobertas anteriormente.

A seguir, entenda melhor o que é o programa CVE e como ele funciona.

O que é CVE?

CVE ou Common Vulnerabilities and Exposures é uma iniciativa internacional focada em identificar, padronizar e listar publicamente vulnerabilidades e falhas na área de segurança cibernética.

Em definições mais simplistas, CVE pode ser atribuído à lista (lista CVE), que cataloga e resume falhas de segurança em softwares, hardwares e sistemas digitais.

O que significa CVE?

CVE é a sigla de “Common Vulnerabilities and Exposures”, cuja expressão pode ser traduzida como “Vulnerabilidades e Exposições Comuns”. O significado do termo vai de encontro com o propósito do programa de listar brechas de segurança conhecidas no meio cibernético.

Qual é o papel do CVE?

O CVE Program tem a função de ajudar as empresas na gestão de vulnerabilidades, com a identificação e padronização de falhas de segurança. Em outras palavras, pode-se dizer que o CVE funciona como um “dicionário de vulnerabilidades e exposições conhecidas” para o setor de segurança da informação como um todo.

A listagem e padronização do programa permite que as empresas identifiquem melhor o problema e se comuniquem com mais clareza sobre a falha. Além disso, o CVE também cumpre um papel importante de transparência ao divulgar publicamente que existe uma vulnerabilidade em um determinado software, hardware ou sistema.

Como funciona o programa CVE

O programa CVE tem funcionamento baseado em três etapas: análise, padronização e publicação.

Tudo começa com o reporte de uma possível vulnerabilidade: profissionais de segurança, fornecedores ou pesquisadores independentes enviam um relatório ao detectar uma falha de segurança — envolvendo a área de cibersegurança — em um produto.

Esse reporte então chega a uma das CVE Numbering Authorities (CNAs) ligadas ao produto, que são empresas autorizadas pelo CVE Program para analisarem as solicitações e atribuírem identificadores de CVE (IDs CVE). Em uma primeira etapa, essas autoridades vão analisar se a vulnerabilidade realmente se enquadra como uma vulnerabilidade.

Se houver constatação da falha de segurança, a CNA responsável seguirá com o processo de identificação do CVE, incluindo o ano de atribuição do ID CVE, e um número sequencial único para facilitar o reconhecimento e comunicação. Já se o reporte não for considerado uma vulnerabilidade, ele será rejeitado.

Geralmente, o ID CVE só é publicado após empresa responsável pelo produto corrigir a falha (por meio de patches de atualização ou ajustes de sistema). Isso acontece para evitar que alguém possa explorar a vulnerabilidade antes da correção, mas casos de zero-day podem antecipar a publicação para alertar sobre os riscos.

E como o banco de dados CVE também é conectado a outros bancos de dados — a exemplo do National Vulnerability Database (NVD) —, o setor de cibersegurança como um todo consegue otimizar as informações com análises adicionais, incluindo atribuição de pontuações de riscos com o Common Vulnerability Scoring System (CVSS).

Quem administra o CVE?

A organização sem fins lucrativos MITRE Corporation é a administradora oficial do programa CVE. No entanto, o Department of Homeland Security (DHS) dos Estados Unidos atua como principal financiador, enquanto sua agência especializada Agência de Segurança Cibernética e Infraestrutura (CISA) também tem participação importante no ecossistema.

As CNAs também têm papel importante e mais prático, validando os reportes de vulnerabilidades e atribuindo IDs CVE. Atualmente, existem 498 CNAs de mais de 40 países diferentes no CVE Program, incluindo nomes como Amazon, Apple, Samsung, Microsoft, Meta Platforms, Google e Nvidia.

Quais são os critérios de qualificação de um CVE?

As vulnerabilidades identificadas pelo CVE devem corresponder ao que o programa entende como vulnerabilidade. E os critérios de vulnerabilidades do CVE Program abrangem:

• uma instância de uma ou mais vulnerabilidades em um produto que pode ser explorada;
• causar impacto negativo na confidencialidade, integridade ou disponibilidade do produto;
• conjunto de condições ou comportamentos que permite a violação de uma política de segurança explícita ou implícita.

Também há outras questões nas regras operacionais do CVE para evitar confusões na hora da atribuição de uma vulnerabilidade. O documento completo está disponível na página de suporte do CVE.

Onde os CVEs são publicados?

Os CVEs são publicados na página oficial cve.org, administrada pela MITRE Corporation, e replicados pelo National Vulnerability Database em nvd.nist.gov.

As CNAs responsáveis pelo produto de cada CVE também costumam publicar as vulnerabilidades em seus próprios portais, com a descrição das falhas de segurança e das correções feitas.

Como ler identificadores e registros CVE

Cada vulnerabilidade registrada no programa CVE ganha um identificador (ID), que funciona como um rótulo para facilitar a identificação. Ao ler uma entrada CVE, você perceberá uma estrutura formada por três seções, separadas por hífen:

1. Prefixo “CVE”;
2. Ano de atribuição;
3. Identificador sequencial.

Como exemplo, a entrada CVE-2026-4452 indica que a vulnerabilidade ganhou um identificador (ID) em 2026. Já os números sequenciais “4452” servem para diferenciar uma vulnerabilidade da outra, evitando confusões de registros.

Além disso, os registros podem indicar três estados diferentes:

• Reservado: CVE que ainda não foi divulgado, e que se encontra em análise;
• Publicado: CVE já publicado por uma CNA, que inclui os dados do ID CVE.
• Rejeitado: CVE rejeitado, indicando que a vulnerabilidade não é válida.

Quais são os benefícios do CVE?

O programa CVE traz diversas vantagens, especialmente para gerir e facilitar a identificação de vulnerabilidades na área de cibersegurança. Dentre os principais benefícios do programa, estão:

• Padronização de vulnerabilidades: a padronização de vulnerabilidades com IDs CVE facilita a identificação das falhas, bem como a comunicação entre empresas, entidades e profissionais de segurança cibernética.
• Gera dados para histórico: a listagem de falhas de segurança cria registros históricos de produtos, permitindo análises e pesquisas mais aprofundadas.
• Transparência com os usuários: apesar de o CVE focar em fornecedoras e pesquisadores, a publicação gera mais transparência aos usuários que adquiriram o produto relacionado à vulnerabilidade.
• Divulgação pública: qualquer pessoa pode acessar o banco de dados do CVE Program e visualizar as vulnerabilidades listadas.

Quais são as limitações do CVE?

O programa CVE também inclui limitações, como:

• Foco na descrição da vulnerabilidade: o programa CVE lista apenas os IDs das vulnerabilidades e suas respectivas descrições, sem informações aprofundadas sobre a falha.
• Não inclui correções: o CVE lista e identifica a vulnerabilidade, mas os passos para as correções são de responsabilidade das CNAs, que podem usar diferentes canais de comunicação.
• Escopo não cobre tudo: apenas falhas enquadradas como “vulnerabilidades” de acordo com os parâmetros do CVE são incluídos no programa.

Qual é a diferença entre vulnerabilidade e exposição?

Vulnerabilidade diz respeito a uma fraqueza que pode ser explorada em condições específicas. Uma vulnerabilidade traz um potencial risco de exploração (exploit), mas não necessariamente será explorada.

Já a exposição surge quando existem condições necessárias para a exploração da vulnerabilidade. Em resumo, a exposição é uma combinação da vulnerabilidade e das condições necessárias para a exploração.

Como exemplo, imagine que uma pasta protegida com senha tenha uma falha de segurança que libere acessos para qualquer senha digitada com quatro dígitos. Nesse caso, trata-se de uma vulnerabilidade: há potencial para exploração, mas nem todos vão tentar uma senha de quatro dígitos e garantir acesso.

Agora se essa pasta estiver em um ambiente de fácil acesso ou se houver pistas que facilitem a descoberta da falha de segurança, ocorre o que chamamos de exposição da vulnerabilidade.

Qual é a diferença entre CVE e CVSS?

O Common Vulnerabilities and Exposures (CVE) é uma iniciativa que foca em identificar, padronizar e listar vulnerabilidades e exposições no campo de segurança cibernética. O programa, no entanto, não tem o papel de definir o nível de risco das falhas de segurança.

Já o Common Vulnerability Scoring System (CVSS) é um padrão utilizado para avaliar o nível de risco de uma vulnerabilidade. Trata-se de um esquema de pontuação que ajuda desenvolvedores a priorizarem correções de falhas de segurança mais críticas.

E apesar de focarem em aspectos diferentes, CVE e CVSS trabalham de forma conjunta em prol da resolução de vulnerabilidades.

O que é CVE? Entenda o programa de vulnerabilidades e exposições comuns