¿Qué es un CVE?

Fecha: 25 de enero de 2024



Common Vulnerabilities and Exposures (Vulnerabilidades y exposiciones comunes), es un registro de vulnerabilidades de seguridad informática conocidas. El CVE identifica vulnerabilidades con precisión inequívoca a través de un número de referencia asignado a cada registro (CVE-ID). Esta nomenclatura estandarizada es usada en la mayoría de repositorios de vulnerabilidades.

Los CVE son asignados y mantenidos por la Corporación Mitre (The Mitre Corporation), una organización sin fines de lucro que se centra en la investigación de seguridad informática. Esta lista es utilizada para comunicar información sobre vulnerabilidades de seguridad entre diferentes partes interesadas, como desarrolladores de software, proveedores de seguridad y usuarios finales; su uso ayuda a garantizar que la información registrada sea precisa y consistente.

¿Cómo se incorporan los CVE?

Mediante un proceso de investigación de las vulnerabilidades de seguridad que involucra a una amplia gama de partes interesadas (incluidos desarrolladores de software, proveedores de seguridad y usuarios finales) los CVE son identificados. Posteriormente, se envía una solicitud al Mitre Corporation, estos evalúan la solicitud y si es aprobada, se asigna un CVE-ID a la vulnerabilidad.

¿Cómo se utilizan los CVE?

Los CVE se utilizan para una variedad de propósitos, que incluyen:

  • Comunicación: Divulgando la información sobre vulnerabilidades de seguridad entre diferentes partes interesadas, como es el caso de los desarrolladores: ellos pueden utilizar un CVE para informar a los usuarios finales sobre una vulnerabilidad específica en su software.
  • Priorización: En la corrección de vulnerabilidades de seguridad. Las vulnerabilidades con CVE más altos se consideran generalmente más graves y deben corregirse con mayor prioridad.
  • Investigación: Son utilizados para identificar información adicional sobre una vulnerabilidad de seguridad.

Ejemplo de un CVE

CVE-2024-20272 . Este CVE identifica una vulnerabilidad de seguridad en el software Cisco Unity Connection. La exposición permite a un atacante escalar privilegios y subir archivos en un equipo CISCO con esta vulnerabilidad.

Conclusión

Los CVE son una herramienta importante para la gestión de la seguridad informática, estos ayudan a garantizar que la información sobre las vulnerabilidades de seguridad sea precisa y consistente, facilitando la comunicación y el intercambio de información sobre vulnerabilidades y sus correcciones.

Referencias:



Tags:  bugs cve vulnerabilidades

Estadísticas de Incidentes

Abril 2024

VER TODAS

Boletines de Seguridad
Crítico
CVE-2023-6000

La vulnerabilidad CVE-2023-6000, también conocida como Popup Builder XSS, es una falla deseguridad crítica que afecta a las versiones anteriores a la 4.2.3 del complemento Popup Builder para WordPress.

Crítico
CVE-2023-50387

Aunque la vulnerabilidad fue pública recientemente, esta fue descubierta en diciembre de 2023 y registrada como CVE-2023-50387. Se le asignó una puntuación CVSS 3.1 de 7,5 y una clasificación de gravedad "Alta".

VER TODOS