Poiché CVE è solo l'IDentifier di una vulnerabilità riconosciuta dal fornitore per software / hardware specifici, non è possibile categorizzarli utilizzando questi identificatori come base, a meno che non si tenga conto dell'anno incluso nel CVE. Sebbene, l'anno non corrisponda sempre alla data in cui la vulnerabilità è diventata pubblica.
Sapendo che ogni ID CVE è correlato a un enumerazione piattaforma comune (CPE), è possibile utilizzarlo per classificare il CVE. Per questo, ti consiglio di utilizzare il Feed di dati ( link ) fornito dal National Vulnerability Database (NVD).
Vorrei sottolineare 2 cose:
- Un CVE può essere rifiutato anche a causa della vulnerabilità
pubblico. Nei file dei feed di dati NVD vengono visualizzati come "** REJECT **". Quindi, mantieni aggiornati questi file;
- Sei ancora a rischio di alcuni falsi negativi - ovvero la cui vulnerabilità interessa determinate piattaforme, si trova la piattaforma elencata nell'advisory di sicurezza del fornitore, ma non viene enumerata nei file di dati NVD: CVE-2017-11779
Feed di dati NVD: link
Centro di risposta alla sicurezza di MS Portal: link
Tieni presente che il CPE di Windows Server 2012 ( cpe:/o:microsoft:windows_server_2012
) non è presente nei feed di dati NVD né in CVEDetails.