概述:漏洞领域常见名词解释,涵盖编号体系、评分系统、情报平台四大类

[toc]


一、漏洞利用类

POC(Proof of Concept)

漏洞证明,指一段描述或样例代码,用于证明某个漏洞确实存在。通常不包含完整的攻击Payload,侧重于验证漏洞可被触发。

对应场景:安全研究人员在发现漏洞后提交的初始报告通常就是 POC。

EXP(Exploit)

漏洞利用,指完整可用的攻击代码或工具,可以直接完成漏洞的利用过程。存在公开 EXP 意味着漏洞已可以被直接攻击利用,威胁等级大幅提升。

对应场景:EXP 公开后,攻击者可在数小时内完成自动化武器化(Weaponization)。

0DAY

零日漏洞,指被发现后尚未公开、也无官方补丁的漏洞,威胁极大。由于没有补丁,攻击窗口期(Window of Exposure)极长。

  • "0day":漏洞已公开但无补丁
  • "1day":漏洞公开 1 天,有非官方补丁或 PoC
  • "Nday":漏洞公开 N 天,有官方补丁

2020 年 VMware vCenter Server 0day(CVE-2021-21972)被大规模利用,从披露到攻击仅数小时。

1DAY

已公开但补丁不完整或存在绕过的漏洞。比 0day 风险低,但因部分用户未及时修复,仍是常见攻击向量。


二、编号命名体系

CVE(Common Vulnerabilities and Exposures)

国际通用漏洞编号系统,由美国 MITRE 公司运营(cve.mitre.org)。为全球已知漏洞提供唯一标识符,格式为 CVE-年份-NNNNN

核心价值:统一命名,不同漏洞库、扫描器、补丁管理系统之间可以互通数据。

例如:CVE-2021-44228(Log4Shell)

中文搜索http://vulhub.org.cn

CAN(Candidate Advisory Notice)

CVE 的候选编号。CAN 与 CVE 唯一区别是:CAN 还在 CVE 编辑委员会审核中,尚未正式收录。一旦审核通过,编号前缀由 CAN 变更为 CVE,编号本身不变。

实际使用中已基本不使用 CAN 名称,均以 CVE 编号流通。

CWE™(Common Weakness Enumeration)

通用缺陷枚举,描述漏洞的类型/根因,而非具体漏洞实例。与 CVE(一事一议)不同,CWE 是分类体系。

  • CWE-79:跨站脚本(XSS)
  • CWE-89:SQL 注入
  • CWE-22:路径穿越
  • CWE-269:权限提升

CWE 每年发布 CWE Top 25(最危险的软件弱点列表),反映当年真实攻击数据。

CPE™(Common Platform Enumeration)

标准化命名规范,为软件应用、操作系统、硬件设备分配统一格式的名称。

格式:cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

例如:cpe:2.3:a:apache:log4j:2.0:*:*:*:*:*:*:* 描述 Log4j 2.0 所有版本

OID(Object Identifier)

ISO/IEC 标识符,用于在 ASN.1 体系中唯一标识任意对象。在漏洞领域用于 CPE 等标准的URN命名空间。


三、评分与优先级体系

CVSS(Common Vulnerability Scoring System)

通用漏洞评分系统,由 FIRST(事件响应与安全团队论坛)维护,0–10 分制,值越高越严重。

版本说明
CVSS v22007 年,3 个维度(Base/ Temporal/Environmental),评分较粗糙
CVSS v3.02015 年,引入”攻击复杂度低/高”、“所需权限低/高”等新指标
CVSS v3.12020 年,小幅修订,对 v3.0 语义做澄清

CVSS v3.1 评分等级:

  • 0.1–3.9:低危(Low)
  • 4.0–6.9:中危(Medium)
  • 7.0–8.9:高危(High)
  • 9.0–10.0:严重(Critical)

CVSS 评分受时间(Temporal)和环境(Environmental)因素影响,同一漏洞在不同环境下评分可能不同。

CVSS-BSE / CVSS-S

  • CVSS-BSE(Base Score Only):仅 Base 评分,不含 Temporal/Environmental 维度
  • CVSS-S(CVSS-Scoped):v4.0 引入,支持漏洞影响范围(Scope)跨组件场景的更精确评分

CVSS v4.0

2023 年发布,新增补给复杂度(Recovery)价值替代(Value Density)干预响应(Answer机) 等维度,对容器化、微服务场景支持更精准。

EPSS(Exploit Prediction Scoring System)

由 FIRST 运营的漏洞利用预测评分系统epss.first.org),预测漏洞未来 30 天内被实际利用的概率(0–1.0)。

与 CVSS 区别:

CVSSEPSS
衡量漏洞严重程度实际被利用可能性
范围0–100–1.0
更新静态(除非更新Temporal)每日动态更新

CVSS 高不等于 EPSS 高。例如 CVE-2021-21972(vCenter RCE)CVSS 9.8,EPSS 高达 0.97。

VPR(Vulnerability Priority Rating)

Tenable 提供的优先级评分,范围 0–10,融合了威胁情报、漏洞利用公开状态、CVSS 等多维度数据,侧重于运营侧修复优先级排序

VUL(Vulnerability)

漏洞(Vulnerability)通用缩写,无特定标准,仅表示”存在安全缺陷”。

VR(Vulnerability Reference)

内部引用编号,部分厂商(如 Oracle CPU)不使用 CVE 而使用自己定义的漏洞参考号。


四、国内漏洞平台

NVD(National Vulnerability Database)

美国国家漏洞数据库(nvd.nist.gov),全球最大漏洞数据源,实时同步 CVE 数据,附加 CVSS 评分、CWE 分类、参考链接等。

重要:2025 年 NVD 2.0 API 上线,旧版参数(如 cvssV3Severity)已弃用,调用时需注意兼容性。

CNVD(China National Vulnerability Database)

国家信息安全漏洞共享平台,由 CNCERT/CC 运营(cnvd.org.cn)。收录国内外漏洞,提供中文描述、补丁链接,国内企业使用最广。

CNNVD(China National Vulnerability Database)

中国国家信息安全漏洞库,由中国信息安全测评中心运营(cnnvd.org.cn)。侧重漏洞技术分析、风险评估,为政府机构提供情报支撑。

CNCVE

中国国家计算机网络应急技术处理协调中心(国家互联网应急中心)的漏洞编号体系,已逐步与 CNVD/CNNVD 整合,现在很少单独提及。

vulhub

中文开源漏洞环境与知识库(vulhub.org.cn),提供漏洞中文搜索、漏洞复现环境,是国内安全研究常用的辅助平台。


五、威胁情报与事件跟踪

CISA KEV(Known Exploited Vulnerabilities Catalog)

美国网络安全与基础设施安全局(CISA)维护的已被实际利用的漏洞目录cisa.gov/known-exploited-vulnerabilities-catalog)。

重要:KEV 中的漏洞优先级极高,美国政府机构须在强制日期前修复。

BUGTRAQ

Full Disclosure 邮件列表(曾名 Bugtraq),曾是漏洞披露与讨论的核心社区。已于 2007 年停更,现由 Full-Disclosure 替代。

VULNCHECK

商业威胁情报平台,专注于漏洞武器化时间线:POC 公开 → EXP 武器化 → 野利用 的全链路跟踪。

CISA AA(Advisory / Alert)

美国 CISA 发布的漏洞 advisory 和紧急警报(如 AA-2024-XXXX 系列),通常针对关键基础设施相关漏洞。

ICS-CERT ADVISORY

工业控制系统网络应急响应小组发布的工控漏洞公告,专注于电力、水务、制造等 ICS/OT 环境。


六、漏洞生命周期相关

POC → EXP → Weaponized → 野利用(In-the-Wild)

发现 → POC公开 → EXP武器化 → 大规模利用 → 补丁发布 → 利用减弱
 |<-------- 0day窗口期 ------->|<---- Nday窗口期 ---->|

CVRF / CSAF

  • CVRF(Common Vulnerability Reporting Framework):传统漏洞报告格式 XML,已逐步被 CSAF 替代
  • CSAF(Common Security Advisory Framework):下一代漏洞报告标准,基于 JSON,机器可读性更强

CSAF 2.0

2023 年发布的 CSAF 新版,增加 VEX(Vulnerability Exploitability eXchange)支持,用于声明”某产品不受某漏洞影响”。

VEX(Vulnerability Exploitability eXchange)

厂商声明某产品某版本不受某漏洞影响的标准格式(通常作为 SBOM 的补充),常用于软件供应链安全合规。

SAST / DAST / IAST

  • SAST(Static Application Security Testing):静态应用安全测试,白盒,代码层面扫描
  • DAST(Dynamic Application Security Testing):动态应用安全测试,黑盒,运行态扫描
  • IAST(Interactive Application Security Testing):交互式应用安全测试,灰盒,插桩方式

RASP(Runtime Application Self-Protection)

运行时应用自保护,代码级别防护模块,在应用运行时检测并阻断攻击。

SBOM(Software Bill of Materials)

软件物料清单,列出软件中所有第三方组件及版本,是供应链安全的基础。

关联:EO 14028(美国行政令)要求政府软件必须提供 SBOM。


附:常见术语速查表

缩写全称中文类别
CVECommon Vulnerabilities and Exposures通用漏洞披露编号
CWECommon Weakness Enumeration通用缺陷枚举分类
CPECommon Platform Enumeration通用平台枚举命名
CVSSCommon Vulnerability Scoring System通用漏洞评分系统评分
EPSSExploit Prediction Scoring System利用预测评分评分
VPRVulnerability Priority Rating漏洞优先级评分
NVDNational Vulnerability Database美国国家漏洞库平台
CNVDChina National Vulnerability Database国家漏洞共享平台平台
CNNVDChina National Vulnerability Database国家信息安全漏洞库平台
KEVKnown Exploited Vulnerabilities已知已利用漏洞情报
POCProof of Concept漏洞证明利用
EXPExploit漏洞利用利用
0dayZero-day零日漏洞阶段
SASTStatic AST静态安全测试测试
DASTDynamic AST动态安全测试测试
IASTInteractive AST交互式安全测试测试
RASPRuntime Application Self-Protection运行时自保护防护
SBOMSoftware Bill of Materials软件物料清单供应链
CSAFCommon Security Advisory Framework通用安全公告框架标准
VEXVulnerability Exploitability eXchange漏洞可利用性交换标准