脆弱性とは、攻撃者が悪用するソフトウェアまたはハードウェアコンポーネントの弱点または欠陥のことです。脆弱性は STIX 2.x に適用されます。

脆弱性または欠陥は、ソフトウェアまたはハードウェアコンポーネントに含まれるコードの要件、設計、または実装にあります。この脆弱性は、そのシステムの機密性、完全性、または可用性に悪影響を及ぼすために直接悪用されます。

CVE は、公開されている既知の問題 [CVE] の共通名を提供する情報セキュリティの脆弱性とエクスポージャーのリストです。

たとえば、マルウェアが CVE-2015-12345 を悪用する場合、マルウェアオブジェクトは CVE-2015-12345 を参照する脆弱性オブジェクトにリンクされます。