Common Vulnerabilities and Exposures, meestal afgekort als CVE, is een databank met informatie over kwetsbaarheden in computersystemen en netwerken. Veelal wordt in rapporten van penetratietests verwezen naar gegevens in deze databank. Een voorbeeld van een verwijzing hiernaar is: CVE-2012-1650. In maart 2012 waren er meer dan 49.000 kwetsbaarheden in gedocumenteerd.

De databank wordt onderhouden door het bedrijf MITRE Corporation en wordt gefinancierd door de nationale divisie voor informatiebeveiliging van het Amerikaanse Departement van Binnenlandse Veiligheid.^[1] CVE wordt gebruikt door het Security Content Automation Protocol, waarmee geautomatiseerd kwetsbaarheden door beveiligingssoftware kunnen worden verwerkt.

Als er nieuwe informatie aan de databank wordt toegevoegd, zal deze eerst gecontroleerd worden. Op de website van CVE wordt dan aangegeven, dat de informatie gereserveerd is. Verder is het mogelijk, dat een organisatie of individu de informatie reserveert om zelf eerst actie te kunnen ondernemen, bijvoorbeeld door softwarefouten op te lossen of zelf mededelingen te doen.

CVE en soortgelijke databanken zoals de Open Source Vulnerability Database (OSVDB) zorgen ervoor er publieke informatie beschikbaar is over de gevonden kwetsbaarheden in systemen. Hierdoor kunnen deze kwetsbaarheden geadresseerd worden voordat ze misbruikt kunnen worden door kwaadwillenden zoals computerkrakers en scriptkiddies.

• Website van CVE - Common Vulnerabilities and Exposures
• www.cvedetails.com - Gedetailleerde eenvoudig te gebruiken CVE database