FAQ

FAQ : #NVD

Il punteggio CVSS è generalmente definito dall'organizzazione che pubblica la vulnerabilità, spesso un CNA (CVE Numbering Authority) o l'editore del software interessato. Inoltre, entità come il NVD (National Vulnerability Database) ricalcolano o modificano a volte i punteggi per garantire una coerenza tra i CVE pubblicati.

Strumenti automatizzati consentono anche a ricercatori indipendenti, analisti SOC o fornitori di sicurezza di ricalcolare un punteggio sulla base del vettore CVSS pubblicato. Ciò significa che uno stesso CVE può avere diversi punteggi leggermente differenti a seconda del contesto e del valutatore, il che spinge a incrociare le fonti per le decisioni critiche.

#CVE #CVSS #CNA #NVD

Il processo di pubblicazione di un CVE inizia generalmente con la presentazione di un rapporto di vulnerabilità a un CNA o direttamente a MITRE. Se la falla viene riconosciuta come legittima, viene riservato un identificativo CVE. A questo punto, il CVE può rimanere "riservato" per un certo periodo, in attesa della convalida tecnica, dell'accordo delle parti interessate o della disponibilità di una correzione.

Una volta verificate tutte le informazioni, il CVE viene reso pubblico tramite il sito ufficiale di MITRE (cve.org) e altre piattaforme come NVD (National Vulnerability Database) o CVE Find. Include una breve descrizione tecnica della vulnerabilità, la data di pubblicazione, i prodotti interessati e talvolta riferimenti a correzioni o avvisi di sicurezza.

#CVE #MITRE #NVD

No, l'esistenza di una CVE non garantisce che sia disponibile una patch. Una CVE può essere pubblicata prima che un fornitore abbia sviluppato una patch, o anche in casi in cui non è prevista alcuna patch (ad esempio, per software obsoleti o non più supportati). In queste situazioni, gli utenti devono implementare misure di mitigazione o disabilitare determinate funzionalità vulnerabili.

È quindi essenziale non solo consultare le CVE, ma anche verificare le raccomandazioni dei fornitori e database come l'NVD o il database KEV, che possono indicare se esiste una patch e entro quali tempistiche è prevista. Una buona gestione dei rischi tiene conto sia della gravità della vulnerabilità sia della disponibilità di soluzioni.

#CVE #NVD #KEV

Cerca nelle FAQ

Categorie

CVE
Cyber sécurité
Informations
Informazioni

Tags

#CAPEC #CISA #CNA #CVE #CVSS #CWE #EPSS #FIRST #IoT #KEV #MITRE #NVD #RSSI #SOC #Zero-day
Le informazioni presentate su CVE Find provengono da diverse fonti di riferimento attentamente selezionate. I dati CVE sono forniti da MITRE Corporation e dal National Vulnerability Database (NVD). Il catalogo delle vulnerabilità sfruttate conosciute (KEV) proviene dalla Cybersecurity and Infrastructure Security Agency (CISA), mentre i punteggi EPSS provengono da FIRST.org. Inoltre, i dati relativi alle vulnerabilità software (CWE) e ai pattern di attacco comuni (CAPEC) sono mantenuti da MITRE Corporation, e le informazioni sulle configurazioni hardware e software (CPE) sono fornite da NVD.