CVE-2024-12345Critical RCE in WidgetServer 3.xPublished: 2024-08-12CWE-78: OS Command Injection9.8CRITICALunique ID + severity + references

Sistema CVE

11 lectura mínimaSeguretat

Cada vulnerabilitat de seguretat de què escolteu (Heartbleed, Log4Shell, Spectre) té un número CVE. El sistema de vulnerabilitats i exposicions comuns és la convenció de nomenclatura global per al seguiment de fallades del programari. Entendre què són els CVE, com funciona la puntuació i on el sistema està lluitant actualment aclareix per què algunes vulnerabilitats reben l'atenció que fan.

El cos complet de l'article es proporciona en anglès a continuació.

CVE (Common Vulnerabilities and Exposures) és el sistema estandarditzat per nomenar i fer el seguiment de les vulnerabilitats de programari divulgades públicament. Cada entrada obté un identificador únic, com ara CVE-2023-12345 (any + número de seqüència), que permet als investigadors, venedors i eines referir-se a errors específics de manera inequívoca a tot el sector.

Com funciona el sistema

La Corporació MITRE gestiona el programa CVE amb finançament de la ciberseguretat de la ciberseguretat i de l'Agency ISAC. S'ha trobat la vulnerabilitat de flux bàsic:

  1. A.
  2. El descobridor informa al venedor afectat (o a una autoritat de numeració CVE — CNA). no són públics.
  3. Quan es revela la vulnerabilitat (pedaç disponible, o algun termini expira), l'entrada s'omple amb descripció i referències.
  4. L'entrada es publica a la llista MITRE CVE i la National Vulnerability Database (NVD) mantinguda per NIST. va créixer de manera espectacular: de ~ 6.000/any el 2015 a 25.000+/any el 2024.

    CNAs: qui pot assignar ID CVE

    CVE Autoritats de numeració són autoritzades per assignar ID CVE dins dels seus àmbits. Exemples:

    • Proveïdors principals: Microsoft, Apple, Google, Oracle, Cisco, Red Hat, cadascun assigna CVE per als seus propis productes.
    • Coordinadors de codi obert: Apache Software Foundation, GitHub Security Lab. systems.
    • Regional — JPCERT/CC per al Japó, BSI per a Alemanya.
    • MITRE per a vulnerabilitats no cobertes per cap CNA específic.

    Hi ha aproximadament més de 350 CNA a partir del 2026. El sistema està descentralitzat; no tots els CVE passen per la mateixa revisió. Puntuació

    CVSS

    El Common Vulnerability Scoring System (CVSS) proporciona una puntuació de gravetat numèrica de 0 a 10 basada en:

      — Vector

          PLZ50XPLZ50X, Xarxa Xarxa Xarxa, local, físic
        • Complexitat de l'atac — Baixa o alta
        • Privilegis necessaris — Cap, Baix, Alt
        • Interacció amb l'usuari — Cap, Necessari
        • Scope — Sense canvis o canviats (l'explotació afecta a una autoritat de seguretat diferent)
        • Confidencialitat/Integritat/Impacte de disponibilitat — Cap, Baix, Alt per a cadascun dels vectors de captura XXPLZPLZ774 aquests (p. ex., CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H = CVSS 9.8). La puntuació final classifica:

          • 0.0 — Cap
          • 0.1-3.9 — Baix
          • 4.0-6.9 — Mitjà
          • 7.0-8.9 — AltXPLZ80.90. Critical

          CVSS 4.0 (publicat el 2023) perfecciona les mètriques. Moltes eines encara utilitzen 3.1.

          El que CVSS no captura

          La puntuació no reflecteix:

          • Quan àmpliament desplegat és el programari afectat
          • existeix si la vulnerabilitat és una vulnerabilitat1010XXXXPLZ s'explota activament
          • L'impacte empresarial específic per a qualsevol organització

          Per a la priorització, CVSS és el punt de partida, però no és suficient. El catàleg de vulnerabilitats explotades conegudes (KEV) de CISA identifica les CVE que s'exploten activament, una llista més útil que "tots els CVE crítics". es va desaccelerar dràsticament a principis de 2024 a causa de problemes de pressupost i personal. Les acumulacions de CVE no analitzades van augmentar fins a milers; Les eines aigües avall i els sistemes de gestió de pedaços que depenen de l'enriquiment de NVD es van trencar.

          La crisi va provocar múltiples respostes: CVE.org va ampliar el seu propi paper, el projecte Vulnrichment va intentar afegir l'anàlisi que faltava i diverses organitzacions van crear bases de dades alternatives. La situació s'ha recuperat parcialment però ha posat al descobert la fragilitat de la infraestructura central.

          Números CVE famosos

          • CVE-2014-0160 — Heartbleed. OpenSSL disclosure memory.
          • CVE-2017-0144 — EternalBlue / Vulnerabilitat WannaCry utilitzada en massa Microsoft SXMBPLZ8. ransomware.
          • CVE-2021-44228 — Injecció Log4Shell. Log4j JNDI. Explotació massiva; CVSS 10.
          • CVE-2014-6271 — Shellshock. Anàlisi de variables d'entorn Bash.
          • CVE-2023-23397 — Amenaça d'explotació de credencials de Microsoft Outlook NTLMPLZ2 activa russa00X. actors.
          • CVE-2024-3094 — XZ Utils backdoor. L'atac plurianual de la cadena de subministrament d'enginyeria social del 2024.

          Què signifiquen les CVE per als usuaris CVE que apareixen per als usuaris habituals ZXPL29X a:

          • Notes del parche per al vostre sistema operatiu, aplicacions, navegador
          • Notícies sobre vulnerabilitats principals
          • Avisos de seguretat dels venedors

          La pràctica: quan les notícies esmenten el vostre programari esmenta una actualització rellevant. "Actualització disponible" és la resposta universal per a la majoria d'usuaris; La investigació més profunda és per als responsables de la gestió de flotes.

          Per als desenvolupadors i els equips de seguretat, el seguiment CVE, la priorització conscient de KEV i l'avaluació de l'exposició basada en SBOM formen part de les operacions estàndard ara.

Preguntes freqüents

Cada vulnerabilitat té un CVE?
La majoria de les vulnerabilitats divulgades públicament obtenen CVE, especialment les del programari àmpliament desplegat. Les vulnerabilitats en aplicacions personalitzades, sistemes interns i errors que es solucionen abans de qualsevol divulgació sovint no reben CVE. El sistema cobreix la major part del que arriba a l'atenció del públic.
Quina diferència hi ha entre MITRE i NVD?
MITRE (CVE.org) manté la llista CVE: assignació d'identificadors i descripció bàsica. NVD afegeix anàlisi: puntuació CVSS, mapes de productes afectats (CPE), referències. Tots dos són públics; sovint les eines consumeixen ambdues coses.
Una puntuació CVSS alta és sempre accionable?
No necessàriament. Un CVSS 10 en un programari que no utilitzeu és irrellevant per a vosaltres. Un CVSS 5 que s'està explotant activament és més urgent que un CVSS 9 sense cap exploit conegut. El catàleg KEV de CISA combina la gravetat amb la realitat de l'explotació per a una millor priorització.
Per què es reserven alguns CVE sense detalls?
L'estat reservat significa que l'identificador s'ha assignat però que la vulnerabilitat encara no s'ha revelat públicament. Els venedors reserven identificadors per discutir les vulnerabilitats internament durant el període de desenvolupament del pedaç i, a continuació, emplenen l'entrada quan es produeixi la divulgació.
Com trobo que els CVE afecten el meu programari?
Els avisos de seguretat dels proveïdors enumeren CVE rellevants. La cerca NVD a nvd.nist.gov cerca per proveïdor/producte. Eines com Snyk, GitHub Dependabot i gestors de paquets del sistema operatiu fan un seguiment CVE basat en dependències automàticament.
El sistema CVE explicat: com el món fa un seguiment de les vulnerabilitats