Une vulnérabilité est une faiblesse ou un défaut d’un composant logiciel ou matériel que les attaquants exploitent. Les vulnérabilités s’appliquent à STIX 2.x.

La faiblesse ou le défaut réside dans les exigences, les conceptions ou les implémentations du code que l’on trouve dans un composant logiciel ou matériel. Cette faiblesse est directement exploitée pour avoir un impact négatif sur la confidentialité, l’intégrité ou la disponibilité de ce système.

CVE est une liste des vulnérabilités et des expositions liées à la sécurité de l’information qui fournit des noms communs pour les problèmes connus du public [CVE].

Par exemple, si un programme malveillant exploite CVE-2015-12345, un objet malveillant peut être lié à un objet de vulnérabilité qui fait référence à CVE-2015-12345.