CVE (Common Vulnerabilities and Exposures) ist ein standardisiertes Kennzeichnungssystem für öffentlich bekannte Schwachstellen in Software und Hardware. Jede Schwachstelle erhält eine eindeutige Kennung im Format CVE-YYYY-NNNNN (z. B. CVE-2024-3094 für die XZ-Utils-Backdoor).
Im ISMS ist CVE die gemeinsame Sprache für das Schwachstellenmanagement nach ISO 27001 Annex A Control A.8.8 (Management technischer Schwachstellen). CVE-Kennungen ermöglichen eine eindeutige Zuordnung zwischen Schwachstellen-Scannern, Advisories, Patches und internem Tracking. Die CVE-Datenbank wird von der MITRE Corporation verwaltet und durch CVE Numbering Authorities (CNAs) befüllt. In Kombination mit CVSS-Scores (Schweregrad) und CPE (betroffene Produkte) bildet CVE die Grundlage für priorisiertes Patching.