Eine Schwachstelle ist eine Schwachstelle oder ein Fehler in einer Software- oder Hardwarekomponente, die Angreifer ausnutzen. Schwachstellen gelten für STIX 2.x.

Die Schwachstelle oder der Fehler liegt in den Anforderungen, Designs oder Implementierungen des Codes, der in einer Software- oder Hardwarekomponente gefunden wurde. Diese Schwachstelle wird direkt ausgenutzt, um die Vertraulichkeit, Integrität oder Verfügbarkeit dieses Systems zu beeinträchtigen.

CVE ist eine Liste von Informationssicherheitsschwachstellen und -risiken, die allgemeine Namen für öffentlich bekannte Probleme bereitstellt [CVE].

Beispiel: Wenn eine Malware CVE-2015-12345 ausnutzt, kann ein Malware-Objekt mit einem Schwachstellenobjekt verknüpft werden, das auf CVE-2015-12345 verweist.