什么是 CVE(Common Vulnerabilities and Exposures)?

1. 什么是 CVE

中文

CVE 的全称是 Common Vulnerabilities and Exposures ,中文一般翻译为 通用漏洞与暴露

你可以把它理解成:

给每一个公开已知安全漏洞分配一个统一编号的系统。

这样无论是安全研究员、厂商、运维人员,还是企业安全团队,只要提到同一个 CVE 编号,大家说的就是同一个漏洞。


English

CVE stands for Common Vulnerabilities and Exposures .

It is a standardized system for assigning unique IDs to publicly known security vulnerabilities.

It helps everyone refer to the same vulnerability using the same identifier.


2. 一句话理解

中文

CVE 就像漏洞的"身份证号码"。

English

CVE is like an ID number for a security vulnerability.


3. 为什么需要 CVE

中文

如果没有 CVE,同一个漏洞可能会被不同公司、不同研究员用不同名字来叫,容易混乱。

有了 CVE 后:

  • 大家可以统一讨论同一个漏洞
  • 方便查资料
  • 方便写补丁说明
  • 方便做漏洞管理和风险跟踪
  • 方便 SOC / 安全团队沟通

English

Without CVE, the same vulnerability might be described differently by different people.

CVE provides a common reference so people can:

  • discuss the same issue clearly
  • search for vulnerability information
  • track patches and fixes
  • manage risks consistently

4. CVE 的格式

中文

CVE 编号通常长这样:

CVE-年份-编号

例如:

  • CVE-2014-0160 → Heartbleed
  • CVE-2024-29988 → 某个 2024 年登记的漏洞编号

这里:

  • CVE = 漏洞编号系统
  • 2014 / 2024 = 编号分配年份
  • 0160 / 29988 = 该漏洞的唯一序号

English

A CVE ID usually looks like this:

CVE-Year-Number

Example:

  • CVE-2014-0160
  • CVE-2024-29988

Where:

  • CVE = the identifier system
  • Year = the year the CVE ID was assigned
  • Number = the unique vulnerability number

5. 关键词

  • CVE = Common Vulnerabilities and Exposures
  • Vulnerability = 漏洞
  • Exposure = 暴露 / 安全暴露点
  • Identifier = 标识符
  • Standardized = 标准化的
  • Publicly known vulnerability = 公开已知漏洞
  • MITRE = 维护 CVE 项目的组织
  • NVD = National Vulnerability Database,美国国家漏洞数据库

6. CVE 和谁有关

中文

CVE 项目主要和这些对象有关:

  • MITRE:维护 CVE 体系
  • 厂商:比如 Microsoft、Cisco、OpenSSL 等
  • 安全研究员:发现漏洞并报告
  • 企业安全团队:用 CVE 跟踪风险
  • 漏洞数据库:如 NVD 会收录 CVE 并补充评分信息

English

CVE is used by:

  • MITRE
  • Vendors
  • Security researchers
  • Security teams
  • Vulnerability databases such as NVD

7. CVE 不是什么

这个很容易考。

中文

CVE 不是漏洞本身。

它只是漏洞的 编号 / 名字 / 标识

CVE 也不是漏洞评分系统。

漏洞的严重程度通常看的是 CVSS,不是 CVE。


English

CVE is not the vulnerability itself.

It is just the identifier for the vulnerability.

CVE is also not a severity scoring system.

Severity is usually measured with CVSS, not CVE.


8. CVE 和 CVSS 的区别

CVE

  • 是什么漏洞
  • 给漏洞编号
  • 作用:统一命名

CVSS

  • 漏洞有多严重
  • 给漏洞打分
  • 作用:评估风险等级

一句话区分

CVE tells you WHICH vulnerability it is.
CVSS tells you HOW SEVERE it is.


9. 例子

例子 1

CVE-2014-0160 = Heartbleed

这个是 OpenSSL 里一个很著名的漏洞。

大家一提到 CVE-2014-0160,就知道说的是 Heartbleed。


Example 1

CVE-2014-0160 refers to Heartbleed, a famous OpenSSL vulnerability.


10. 考试常见问法

题型 1

What does CVE stand for?

答案:Common Vulnerabilities and Exposures

题型 2

What is the purpose of CVE?

答案:给公开漏洞一个统一的标准编号,方便识别、沟通和跟踪。

题型 3

Is CVE a severity score?

答案:No. CVE is an identifier, while CVSS is a scoring system.

题型 4

Who maintains the CVE system?

答案:MITRE


11. 易错点 / 易混点

易混 1:CVE vs CVSS

  • CVE = 编号
  • CVSS = 严重程度评分

易混 2:CVE vs NVD

  • CVE = 漏洞 ID 系统
  • NVD = 漏洞数据库,会引用 CVE 并补充更多信息

易混 3:有 CVE 不代表马上被攻击

CVE 只说明这是一个已知漏洞编号,
不等于 你的系统已经被攻击了。


12. 记忆点

中文记忆口诀

CVE 看编号,CVSS 看高低。

或者:

CVE 是名字,CVSS 是分数。

English memory trick

CVE = name / ID
CVSS = score


13. 最简答题模板

英文版

CVE (Common Vulnerabilities and Exposures) is a standardized identifier system for publicly known security vulnerabilities. It helps security researchers, vendors, and IT professionals refer to the same vulnerability using a unique ID, such as CVE-2014-0160.

中文版

CVE(Common Vulnerabilities and Exposures,通用漏洞与暴露)是一个为公开已知安全漏洞分配标准化唯一编号的系统,方便研究人员、厂商和安全团队统一识别、沟通和跟踪同一个漏洞。


14. 超短总结

中文

CVE = 漏洞编号系统。

English

CVE = a standardized vulnerability ID system.


相关推荐
零零信安6 小时前
AI智能体,攻守失衡的催化剂 | 零零信安
人工智能·网络安全·数据泄露·暗网·零零信安
白帽小阳7 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
白帽小阳8 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
HackTwoHub14 小时前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构
Eastmount15 小时前
[论文阅读] (51)ESWA25 基于启发式优化器的入侵检测系统
论文阅读·网络安全·sci·入侵检测·eswa
白帽小阳15 小时前
Typora插件开发指南:打造专属IDE式写作环境
c语言·网络·python·网络安全·github·pygame·护网行动
Sagittarius_A*16 小时前
Web 渗透信息收集实战:站点指纹识别与目录扫描
网络安全·渗透测试·kali
m0_738120721 天前
PHP代码审计基础——超全局变量(三)
开发语言·安全·网络安全·php
其实防守也摸鱼2 天前
运维--怎么看接口的请求和返回
运维·学习·网络安全·网络攻击模型·burpsuite·攻防对抗·蓝队
菩提小狗2 天前
每日安全情报报告 · 2026-07-09
网络安全·漏洞·cve·安全情报·每日安全