CVE – Common Vulnerabilities and Exposures

CVE ist ein weltweit genutztes System zur eindeutigen Identifikation von Sicherheitslücken. Jede bekannte Schwachstelle erhält eine CVE-Nummer – die Grundlage jedes professionellen Schwachstellen-Managements.

Was ist eine CVE?

CVE steht für Common Vulnerabilities and Exposures und bezeichnet ein international standardisiertes System zur eindeutigen Benennung von Sicherheitslücken in Software und Hardware. Jede dokumentierte Schwachstelle erhält eine eindeutige CVE-ID – zum Beispiel CVE-2025-7340. Diese ID funktioniert wie ein Ausweis: Sicherheitsforscher, Anbieter, Scanner und Administratoren weltweit sprechen damit über exakt dieselbe Schwachstelle, ohne Missverständnisse über Bezeichnungen oder Versionen.

Das System wird vom US-amerikanischen MITRE-Konzern verwaltet und vom Department of Homeland Security (DHS) finanziert. Die zentrale Datenbank heißt NVD (National Vulnerability Database) und ist öffentlich einsehbar.

Wie ist eine CVE aufgebaut?

Eine CVE-ID folgt immer dem gleichen Schema:

CVE-[Jahr]-[fortlaufende Nummer]

Beispiel: CVE-2025-7340 bezeichnet eine Schwachstelle, die im Jahr 2025 registriert wurde. Die Nummer dahinter ist eine fortlaufende, nicht bedeutungsgebende Kennung.

Zu jeder CVE gibt es einen Eintrag mit:

  • Kurzbeschreibung der Schwachstelle
  • Betroffene Software und Versionen
  • CVSS-Score (Schweregrad, → siehe CVSS-Score)
  • Verweise auf Patches, Workarounds und weiterführende Quellen

Warum sind CVEs für WordPress-Betreiber relevant?

In WordPress-Sicherheitsdatenbanken wie WPScan oder Patchstack werden bekannte Schwachstellen in Plugins und Themes mit ihrer CVE-ID dokumentiert. Sobald eine CVE für ein populäres Plugin veröffentlicht wird, beginnen automatisierte Angriffsscanner innerhalb von Stunden, das Internet nach Websites zu durchsuchen, die das betroffene Plugin in der anfälligen Version betreiben.

Das bedeutet: Die CVE-Veröffentlichung ist nicht das Ende eines Problems – sie ist der Startschuss für den Angriff. Wer seine Plugins nicht zeitnah aktualisiert, lebt im offenen Angriffsfenster.

Mehr dazu im Beitrag WordPress Sicherheitslücken: Der vollständige Leitfaden.

CVE vs. CWE: Was ist der Unterschied?

Neben CVE existiert auch das System CWE (Common Weakness Enumeration). Während CVE eine konkrete Schwachstelle in einem bestimmten Produkt beschreibt, beschreibt CWE eine allgemeine Klasse von Programmierfehlern, die zu Sicherheitslücken führen kann – zum Beispiel „fehlende Eingabevalidierung" oder „unsichere direkte Objektreferenz".

Ein praktisches Beispiel: CWE-89 beschreibt die allgemeine Klasse „SQL-Injection" (→ SQL-Injection). CVE-2025-XXXX wäre dann eine konkrete SQL-Injection-Schwachstelle in Plugin X, Version 3.2.

Wer vergibt CVE-IDs?

CVE-IDs werden von sogenannten CNAs (CVE Numbering Authorities) vergeben. Das können Hersteller, Sicherheitsunternehmen oder spezialisierte Organisationen sein. Auch Sicherheitsforscher können CVEs beantragen, wenn sie eine bisher unbekannte Schwachstelle entdeckt haben. Vor der offiziellen Veröffentlichung wird der betroffene Hersteller in der Regel vorab informiert – das nennt sich Responsible Disclosure oder Coordinated Vulnerability Disclosure (CVD).

Fazit

CVEs sind das gemeinsame Vokabular der IT-Sicherheitsbranche. Für Website-Betreiber bedeutet jede neue CVE mit Bezug zu WordPress oder einem genutzten Plugin: handeln, bevor die Angreifer es tun. Der CVSS-Score gibt dabei Orientierung, wie dringend eine Reaktion ist.

jetzt online