CVE-Datenbank » CVE, CPE, EPSS & Co.
Damit Schwachstellen nachvollziehbar beschrieben, bewertet und priorisiert werden können, existieren mehrere etablierte Standards. Die wichtigsten davon sind CVE, CVSS, CPE, EPSS und CWE. Sie bilden die Grundlage, um in VulnDex konsistente und vergleichbare Informationen darzustellen.
Auf dieser Seite
- CVE
- CVSS
- CPE
- EPSS
- CWE
CVE - Common Vulnerabilities and Exposures
Eine CVE ist eine eindeutige Kennung für eine öffentlich bekannte Schwachstelle. Beispiel:
CVE-2024-12345
Jede CVE wird von einer CNA (CVE Numbering Authority) vergeben – das kann ein Softwarehersteller, CERT oder eine Organisation wie MITRE sein. CNAs prüfen die Meldung, vergeben eine CVE-ID und veröffentlichen eine Beschreibung.
ADPs (Authorized Data Publishers) wiederum liefern ergänzende Informationen, z.B. alternative Scores, Exploit-Status oder betroffene Produktlisten. Die NVD (National Vulnerability Database) reichert diese Informationen anschließend mit zusätzlichen Details an, etwa CVSS-Scores oder CPE-Zuordnungen.
Kurz:
- CNA → vergibt CVE und Beschreibung
- ADP → liefert Zusatzinformationen
- NVD → reichert an (Scores, CPE, Referenzen)
CVSS - Common Vulnerability Scoring System
CVSS bewertet, wie kritisch eine Schwachstelle ist. Es kombiniert technische Faktoren (z.B. Netzwerkzugriff, erforderliche Rechte, Auswirkung auf Vertraulichkeit/Integrität/Verfügbarkeit) zu einem Score von 0.0 bis 10.0.
Versionen
- CVSS v2: Einfach, aber veraltet
- CVSS v3.0: Präziser bei Angriffsvektoren
- CVSS v3.1: Kleine Verbesserungen bei der Definition
- CVSS v4.0: Neue Metriken wie Automatable oder Recovery
Beispiel: CVSS Vector String
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Dieser String beschreibt:
- Angriff über das Netzwerk möglich
- Keine Authentifizierung erforderlich
- Hoher Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit → ergibt Score 9.8 (kritisch)
CPE - Common Platform Enumeration
CPE beschreibt eindeutig ein Produkt oder eine Software-Version. So lassen sich Schwachstellen mit betroffenen Produkten verknüpfen.
Beispiel: cpe:2.3:a:vmware:esxi:7.0:update3:*:*:*:*:*:*
Aus diesem Eintrag lässt sich ablesen:
- a → Anwendung (Application)
- vmware → Hersteller
- esxi → Produkt
- 7.0 update3 → Version
- Restliche Felder → optional, z. B. Sprache, Architektur
In VulnDex wird CPE genutzt, um CVEs automatisch mit Produkten in der CVE-Watchlist zu verknüpfen. Dabei werden nur die CPE-Informationen der NVD herangezogen, um eine möglichst konsistente Datenbasis von Hersteller- und Produktinfromationen zu ermöglichen.
Beachten Sie dazu auch die Bekannten Einschränkungen.
EPSS -Exploit Prediction Scoring System
EPSS schätzt die Wahrscheinlichkeit, dass eine bekannte CVE in der nahen Zukunft aktiv ausgenutzt wird. Der Score liegt zwischen 0 und 1 und basiert auf Machine-Learning-Modellen, die Faktoren wie CVSS, Veröffentlichungsdatum, Exploit-Vorkommen oder Social-Media-Erwähnungen berücksichtigen.
Beispiel:
| CVE | CVSS | EPSS | Bedeutung |
|---|---|---|---|
| CVE-2024-12345 | 9.8 | 0.91 | Hohe Wahrscheinlichkeit für Exploit |
| CVE-2024-56789 | 7.5 | 0.03 | Geringe Wahrscheinlichkeit |
Das hilft bei der Priorisierung, wenn viele Schwachstellen mit ähnlichem CVSS-Score vorliegen.
Ein EPSS-Wert kann sich laufend verändern.
CWE - Common Weakness Enumeration
CWE beschreibt die zugrunde liegende Art der Schwachstelle – also das Muster oder den Programmierfehler, der sie verursacht hat. Beispiel:
CWE-79 – Improper Neutralization of Input During Web Page Generation (Cross-Site Scripting)
Entwickler und Security-Teams können dadurch erkennen, welche Schwachstellenarten in ihrem Code häufiger vorkommen und gezielt gegengesteuern.