CWE (Common Weakness Enumeration) ist eine von der MITRE Corporation gepflegte Klassifikation gängiger Software-Schwächen. Im Unterschied zu CVE (einzelne Schwachstellen) beschreibt CWE Kategorien von Schwächen — z. B. CWE-79 (Cross-Site Scripting), CWE-89 (SQL Injection) oder CWE-287 (Improper Authentication).
Im ISMS-Kontext unterstützt CWE die sichere Softwareentwicklung nach ISO 27001 Annex A Control A.8.25 und A.8.28. Entwicklerteams können CWE-Kategorien nutzen, um häufige Fehlerquellen systematisch zu adressieren — in Code Reviews, Schulungen und SAST-Tool-Konfigurationen. Die jährlich veröffentlichte CWE Top 25 (Most Dangerous Software Weaknesses) liefert eine Prioritätenliste. CWE bildet zusammen mit CVE und CVSS ein Dreigespann für das Schwachstellenmanagement: CWE klassifiziert die Schwäche, CVE identifiziert die konkrete Schwachstelle, CVSS bewertet den Schweregrad.