FAQ

Non, l’existence d’une CVE ne garantit pas qu’un correctif soit disponible. Une CVE peut être publiée avant qu’un éditeur n’ait développé un correctif, ou même dans des cas où aucun correctif n’est prévu (par exemple, pour des logiciels obsolètes ou plus maintenus). Dans ces situations, les utilisateurs doivent mettre en place des mesures de contournement ou désactiver certaines fonctionnalités vulnérables.

Il est donc essentiel de ne pas seulement consulter les CVE, mais aussi de vérifier les recommandations des éditeurs et les bases comme la NVD ou la base KEV, qui peuvent indiquer si un patch existe et dans quels délais il est attendu. Une bonne gestion des risques prend en compte à la fois la gravité de la faille et la disponibilité de solutions.

Le processus de publication d’une CVE commence généralement par la soumission d’un rapport de vulnérabilité à un CNA ou directement à MITRE. Si la faille est reconnue comme légitime, un identifiant CVE est réservé. À ce stade, la CVE peut rester "réservée" pendant un certain temps, en attendant la validation technique, l’accord des parties concernées ou la disponibilité d’un correctif.

Une fois toutes les informations vérifiées, la CVE est rendue publique via le site officiel de MITRE (cve.org) et d'autres plateformes comme NVD (National Vulnerability Database) ou CVE Find. Elle comprend une courte description technique de la vulnérabilité, la date de publication, les produits affectés et parfois des références vers des correctifs ou des avis de sécurité.