Per me, sembra pensare che questo si trovi in un'area di confusione sottostante su quali siano effettivamente le vulnerabilità. Una vulnerabilità è semplicemente un'area in cui qualcuno può superare i controlli di sicurezza messi in atto. In molti contesti, ciò potrebbe significare che la vulnerabilità in questione segue un design specifico, come XSS o CSRF. Ma non è sempre così, perché il concetto di vulnerabilità è molto più astratto.
La sicurezza come campo e un concetto sono davvero ampi e si applicano ai sistemi tanto quanto singoli software. Ad esempio, in un contesto aziendale, ogni essere umano è una vulnerabilità, perché ogni essere umano è in grado di divulgare informazioni o compromettere la sicurezza in altri modi. Le porte sono anche vulnerabilità, perché gli attaccanti possono entrare attraverso di loro e le risorse possono uscire casualmente attraverso di loro. Lo stesso con i bidoni della spazzatura, perché le risorse potrebbero perdersi in esse. I bagni sono gli stessi. Naturalmente, gli umani e le porte, i bidoni della spazzatura e i servizi igienici sono tutti rischi che devono necessariamente essere accettati, ma sono ancora vulnerabilità.
Quindi per rispondere alla tua domanda iniziale, le vulnerabilità non hanno firme perché sono astratte e rappresentano qualcosa di intangibile. Non possono avere firme, perché esistono come concetto ad un livello molto più alto. I virus possono avere firme, ma questo perché i virus sono pezzi discreti di software che funzionano in modo incredibilmente ristretto. (Nota la distinzione in quel caso, a proposito: i virus possono avere firme, ma il malware non ha firme.)
Sembra che tu stia cercando qualcosa correlato alla scansione vuln - fantastico! La scansione Vuln è uno spazio fantastico! OWASP ha un ottimo elenco di importanti scanner vulnus qui , quindi verificalo. Ci sono altri scanner e strumenti di scansione non inclusi in quest'ultimo, ma è abbastanza completo e dovrebbe darti un buon punto di partenza. Ovviamente esistono anche i database delle firme antivirali - non posso consigliarne nessuno in particolare, ma la ricerca su "database delle firme antivirali" dovrebbe essere utile per ottenere risultati utili se è quello che cerchi. E, naturalmente, come hai detto, NIST ha un grande repository di vulnerabilità , così come MITRE .