Eine Schwachstelle ist eine Schwachstelle oder ein Fehler in einer Software- oder Hardwarekomponente, die Angreifer ausnutzen. Schwachstellen gelten für STIX 2.x.

Die Schwachstelle oder der Fehler liegt in den Anforderungen, Designs oder Implementierungen des Codes in einer Software- oder Hardwarekomponente. Diese Schwachstelle wird direkt ausgenutzt, um die Vertraulichkeit, Integrität oder Verfügbarkeit dieses Systems negativ zu beeinflussen.

CVE ist eine Liste von Informationssicherheitsschwachstellen und -Risiken, die allgemeine Namen für öffentlich bekannte Probleme [CVE] bereitstellt.

Wenn beispielsweise eine Malware CVE-2015-12345 ausnutzt, kann ein Malware-Objekt mit einem Schwachstellenobjekt verknüpft werden, das auf CVE-2015-12345 verweist.