Eine Schwachstelle ist eine Schwachstelle oder ein Fehler in einer Software- oder Hardwarekomponente, die Angreifer ausnutzen. Schwachstellen gelten für STIX 2.x.

Die Schwachstelle oder der Fehler liegt in den Anforderungen, Designs oder Implementierungen des Codes, der in einer Software- oder Hardwarekomponente enthalten ist. Diese Schwachstelle wird direkt ausgenutzt, um die Vertraulichkeit, Integrität oder Verfügbarkeit dieses Systems zu beeinträchtigen.

CVE ist eine Liste von Informationssicherheitsschwachstellen und -risiken, die gängige Namen für öffentlich bekannte Probleme [CVE] bereitstellt.

Wenn beispielsweise eine Malware CVE-2015-12345 ausnutzt, könnte ein Malware-Objekt mit einem Schwachstellenobjekt verknüpft werden, das auf CVE-2015-12345 verweist.