Uma vulnerabilidade é um ponto fraco ou defeito em um componente de software ou hardware que os invasores exploram. As vulnerabilidades se aplicam ao STIX 2.x.

O ponto fraco ou defeito está nos requisitos, designs ou implementações do código encontrado em um componente de software ou hardware. Essa fraqueza é diretamente explorada para afetar negativamente a confidencialidade, integridade ou disponibilidade desse sistema.

CVE é uma lista de vulnerabilidades e exposições de segurança da informação que fornece nomes comuns para problemas conhecidos publicamente [CVE].

Por exemplo, se um malware explorar CVE-2015-12345, um objeto de malware poderá ser vinculado a um objeto de vulnerabilidade que faça referência a CVE-2015-12345.