CVE-2024-12345Critical RCE in WidgetServer 3.xPublished: 2024-08-12CWE-78: OS Command Injection9.8CRITICALunique ID + severity + references

CVE系統

11 最小閱讀量安全

您聽過的每個安全漏洞(Heartbleed、Log4Shell、Spectre)都有一個 CVE 編號。常見漏洞和暴露系統是用於追蹤軟​​體缺陷的全球命名約定。了解 CVE 是什麼、評分如何運作以及系統目前遇到的問題可以闡明為什麼某些漏洞會受到關注。

完整的文章正文以英文提供如下。

CVE(常見漏洞和暴露) 是用於命名和追蹤公開揭露的軟體漏洞的標準化系統。每個條目都有一個唯一的標識符,如 CVE-2023-12345(年份 + 序號),讓研究人員、供應商和工具能夠明確地引用整個行業的特定錯誤。

系統如何運作

MITRE 公司在美國網路安全和基礎設施安全局 (CISA) 的資助下運作 CVE 計畫。基本流程:

  1. A 漏洞被發現。
  2. 發現者向受影響的供應商(或 CVE 編號機構 — CNA)報告。
  3. CNA 分配 CVE ID。
  4. 此漏洞最初被標記為「保留」— ID 存在,但詳細資訊不存在public.
  5. 當漏洞被揭露(修補程式可用,或某些截止日期到期)時,該條目將填入描述和參考。
  6. 該條目將發佈到 MITRE CVE 清單和由 NIST 維護的國家漏洞資料庫 (NVD)。

發布的 CVE 數量急劇增長 — 從 2019 年的約 6,000 個/年2015 年到 2024 年每年超過 25,000 個。

CNA:誰可以指派 CVE ID

CVE 編號機構 是有權在其範圍內指派 CVE ID 的組織。範例:

  • 主要供應商 - Microsoft、Apple、Google、Oracle、Cisco、Red Hat - 各自為自己的產品指派 CVE。
  • 開源協調員 - Apache 軟體基金會、GitHub 安全實驗室。
  • 產業特定 - 適用於工業控制系統的 ICS-CERT。
  • 區域 -日本的 JPCERT/CC,德國的 BSI。
  • MITRE 本身針對任何特定 CNA 未涵蓋的漏洞。

截至 2026 年,約有 350 多個 CNA。該系統是去中心化的;並非每個 CVE 都會經過相同的審核。

CVSS 評分

通用漏洞評分系統 (CVSS) 提供基於 0-10 的數位嚴重性評分:

  • 攻擊向量 —網路、相鄰網路、本地、實體
  • 攻擊複雜性 — 低或高
  • 所需權限 — 無、低、高
  • 用戶互動XPLZ662無,必需
  • Scope —未更改或已更改(利用是否會影響不同的安全機構)
  • 機密性/完整性/可用性影響 - 每個
    • XPLZ75 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H = CVSS 9.8)。最終得分分類:

    • 0.0 — None
    • 0.1-3.9 — Low
    • 4.0-6.9 — Medium
    • 7.0-8.9PLXPLZZ86-107.0-8.9 Critical

    CVSS 4.0(2023 年發布)完善了指標。許多工具仍然使用 3.1.

    CVSS未捕獲的內容

    分數未反映:

    • 受影響軟體的部署範圍有多大
    • 是否存在公共漏洞
      • XP LZ101X漏洞是否正在被積極利用使用
    • 對任何組織的特定業務影響

    對於優先級劃分,CVSS是起點,但還不夠。 CISA 的已知被利用漏洞 (KEV) 目錄標識了正在被積極利用的 CVE,這是一個比「所有關鍵 CVE」更具可操作性的清單。

    2024

    的 NVD 問題 NIST 國家漏洞資料庫(傳統上會向 CVE 條目添加分析、CVSS 評分和 CPE 映射)在早期顯著放緩由於預算和人員配置問題,2024 年。未分析的 CVE 的積壓數量已增加至數千個;依賴 NVD 豐富的下游工具和修補程式管理系統崩潰了。

    這場危機引發了多種反應:CVE.org 擴大了自己的作用,Vulnrichment 計畫試圖添加缺失的分析,並且各個組織創建了替代資料庫。情況已部分恢復,但暴露了中央基礎設施的脆弱性。

    著名的 CVE 編號

    • CVE-2014-0160 — Heartbleed. OpenSSL 記憶體外洩。
    • CVE-2017-0144 — EternalBlue / WannaCry. 大規模使用的 Microsoft SMB 漏洞ransomware.
    • CVE-2021-44228 — PL4Shell.Xj4 J424228 — LogShell 4X大規模剝削; CVSS 10.
    • CVE-2014-6271 - Shellshock. Bash 環境變數解析。
    • CVE-2023-23397 - Microsoft Outlook NTLM 憑證洩漏。 俄羅斯威脅主動利用actor.
    • CVE-2024-3094 — XZ Utils 後門。 2024 年多年社會工程供應鏈攻擊。

    CVE 對您意味著什麼

    對於一般用戶,出現 CVE數位位於:

    • 針對您的作業系統、應用程式、瀏覽器的修補程式說明
    • 有關主要漏洞的新聞
    • 來自供應商的安全建議

    XFVE 提到實際的要點:當新聞「有更新」是大多數用戶的普遍答案;更深入的調查適用於負責車隊管理的人員。

    對於開發人員和安全團隊來說,CVE 追蹤、KEV 感知優先順序和 SBOM 驅動的暴露評估現在已成為標準作業的一部分。

常見問題

每個漏洞都有 CVE 嗎?
大多數公開揭露的漏洞都會獲得 CVE,尤其是廣泛部署的軟體中的漏洞。自訂應用程式、內部系統中的漏洞以及在任何披露之前已修復的錯誤通常不會獲得 CVE。該系統涵蓋了公眾關注的大部分內容。
MITRE 和 NVD 有什麼不同?
MITRE (CVE.org) 維護 CVE 清單 — 識別碼分配和基本描述。 NVD 增加了分析:CVSS 評分、受影響產品映射 (CPE)、參考資料。兩者都是公開的;工具常常消耗兩者。
高 CVSS 分數是否始終可行?
未必。您不使用的軟體中的 CVSS 10 與您無關。正在被積極利用的 CVSS 5 比沒有已知漏洞的 CVSS 9 更緊急。 CISA 的 KEV 目錄將嚴重性與漏洞利用現實相結合,以便更好地確定優先順序。
為什麼有些 CVE 被保留但沒有詳細資料?
保留狀態表示ID已分配,但漏洞尚未公開揭露。供應商保留 ID,以便在修補程式開發期間內部討論漏洞,然後在披露時填充該條目。
如何找到影響我的軟體的 CVE?
供應商安全公告列出了相關的 CVE。 nvd.nist.gov 上的 NVD 搜尋按供應商/產品搜尋。 Snyk、GitHub Dependabot 和作業系統套件管理器等工具會自動執行基於相依性的 CVE 追蹤。
CVE 系統解釋:世界如何追蹤漏洞