FAQ

Non, les CVE ne concernent pas uniquement les logiciels. Elles peuvent aussi couvrir des vulnérabilités dans le matériel, les firmwares, les composants IoT, les systèmes d’exploitation, voire certaines configurations par défaut dangereuses. Par exemple, des failles dans les routeurs, processeurs ou équipements industriels peuvent également recevoir des identifiants CVE.

Cette couverture large permet de prendre en compte les différents vecteurs d’attaque dans un système d’information moderne. L’essentiel est que la vulnérabilité soit documentée, confirmée et publiquement signalée pour entrer dans le programme CVE. Ainsi, les équipes de sécurité peuvent évaluer les risques à l’échelle de toute l’infrastructure.