FAQ – Fragen zu CVE, CWE & Schwachstellen

Anbieter und Produkte

CPE, kurz für Common Platform Enumeration, ist ein standardisiertes Schema zur Benennung von Hardware, Software und Betriebssystemen. CPE bietet ein strukturiertes Benennungsschema zur eindeutigen Identifizierung und Klassifizierung von IT-Systemen, Plattformen und Paketen basierend auf Attributen wie Anbieter, Produktname, Version, Update, Edition und Sprache.

FAQ : #IoT

Betreffen CVEs nur Software?

Nein, CVEs betreffen nicht nur Software. Sie können auch Schwachstellen in Hardware, Firmware, IoT-Komponenten, Betriebssystemen oder sogar bestimmten gefährlichen Standardkonfigurationen abdecken. Beispielsweise können auch Fehler in Routern, Prozessoren oder Industrieanlagen CVE-Kennungen erhalten.

Diese breite Abdeckung ermöglicht die Berücksichtigung der verschiedenen Angriffsvektoren in einem modernen Informationssystem. Entscheidend ist, dass die Schwachstelle dokumentiert, bestätigt und öffentlich gemeldet wird, um in das CVE-Programm aufgenommen zu werden. So können Sicherheitsteams die Risiken für die gesamte Infrastruktur bewerten.

#CVE #IoT

In der FAQ suchen

Kategorien

CVE

Cyber sécurité

Zero-Day

Informationen

CAPEC

CISA

CVE

CVSS

CWE

EPSS

Informations

CAPEC

CISA

CVE

CWE

EPSS

Tags

#CAPEC #CISA #CNA #CVE #CVSS #CWE #EPSS #FIRST #IoT #KEV #MITRE #NVD #RSSI #SOC #Zero-day

Die auf CVE Find präsentierten Informationen stammen aus mehreren sorgfältig ausgewählten Referenzquellen. CVE-Daten werden von der MITRE Corporation und der National Vulnerability Database (NVD) bereitgestellt. Der Katalog bekannter ausgenutzter Schwachstellen (KEV) stammt von der Cybersecurity and Infrastructure Security Agency (CISA), während EPSS-Scores von FIRST.org kommen. Darüber hinaus werden Daten zu Software-Schwachstellen (CWE) und häufigen Angriffsmustern (CAPEC) von der MITRE Corporation gepflegt, und Informationen zu Hardware- und Software-Konfigurationen (CPE) werden von der NVD bereitgestellt.