# Что такое CVE

### Что такое CVE

CVE или Common Vulnerabilities and Exposures — это список известных уязвимостей и дефектов безопасности. По сути CVE — это идентификатор или серийный номер.

У уязвимостей в CVE есть несколько частей описания. Давайте разберем на примере. Возьмем нашумевшую уязвимость CISCO: CVE-2023-20198.\ <br>

| CVE                                                              | 2023                                    | 20198                                                                                                                                                                              |
| ---------------------------------------------------------------- | --------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| В списке CVE всегда ставят этот префикс. Он не будет отличаться. | Год, когда уязвимость появилась в базе. | <p>Порядковый номер, присвоенный уязвимости. Обычно они идут по порядку.<br><br>То есть следующая уязвимость по счёту — CVE-2023-20199. Она, если что, тоже принадлежит CISCO.</p> |

\
На различных ресурсах, что используют CVE кроме номера дают и детали: описание уязвимости, ее особенности, оценка опасности по шкале  CVSS (мы о ней [писали](https://notes.kraken-security.ru/chto-takoe-cvss/) ранее).&#x20;

### Зачем нужен СVE

Здесь немного истории: до 1999 года была проблема с описанием уязвимостей. У различных компаний по кибербезопасности были свои базы данных и свои методики описания. MITRE Corporation, американская некоммерческая организация в области системной инженерии, создала открытую базу, по которой удобно искать и описывать различные угрозы.&#x20;

Эту методику приняли за стандарт, упростив описание уязвимостей и передачу информации между различными инструментами, сервисами и базами.&#x20;

### Как искать CVE&#x20;

Есть несколько баз, которые помогут их искать: вот [поисковик от MITRE](https://cve.mitre.org/cve/search_cve_list.html), есть еще удобная [база Vulners](https://vulners.com/). Просто вводите идентификатор и онлайн-сервисы покажут основную информацию об уязвимости: описание, таймлайн обнаружения и особенности.

### Как уязвимость попадает в базу СVE

Есть три базовых критерия:&#x20;

1\. Уязвимость должна быть исправлена.

2\. Разработчик, в продукте которого найдена уязвимость, должен признать её негативное последствие для безопасности.

3\. Угроза затрагивает только одну кодовую базу. Если, например, уязвимость связана с open-source библиотеками, CVE назначают на каждый затронутый продукт.&#x20;

### У всех ли уязвимостей есть номера CVE

На самом деле нет. Некоторые уязвимости могут временно отсутствовать в базах. Причины две:

1\. Уязвимость новая, и у MITRE в системе CVE нет события для этой уязвимости.\
2\. Уязвимость не связана ни с какой уязвимостью в данный момент в системе CVE.\
\
Может быть и такое, что угроза не появиться в базе, по причине того, что угроза в принципе не связана с уязвимостью или подверженностью воздействию.&#x20;


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://notes.kraken-security.ru/kraken/krupicy-znanii/obshie-stati/chto-takoe-cve.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.