Schwachstellen Datenbank

Unsere Schwachstellendatenbank beruht auf den öffentlich bereitgestellten Daten von NIST und MITRE. Neue Daten werden stündlich frisch importiert, sodass stets aktuelle Datensätze über eine CVE-Suche in Erfahrung gebracht werden können.

• NIST CVE API:
  • https://services.nvd.nist.gov/rest/json/cves/2.0
• NIST CPE API:
  • https://services.nvd.nist.gov/rest/json/cpes/2.0
• NIST CVSS Source API:
  • https://services.nvd.nist.gov/rest/json/source/2.0
• MITRE CWE
  • https://cwe.mitre.org/data/xml/views/2000.xml.zip
• CISA KEV
  • https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json
• FIRST EPSS
  • https://epss.cyentia.com (daily CSV feed)
  • https://api.first.org/epss/ (official API)

Unsere Daten basieren auf der offiziellen NIST NVD Datenbank. Alle darin befindlichen CVEs können über eine Suchabfrage in Erfahrung gebracht werden, insofern die Daten korrekt und vollständig sind.

Die Anzahl an CVE-Schwachstellen, welche von unserer API zurückgeliefert werden, ist auf max. 200 Datensätze beschränkt. Dies reduziert die Komplexität und die generelle Zeit, in welcher Ihre Anfrage beantwortet werden kann.

Bitte beachten Sie, dass die vorgeschlagenen Produktversionen von uns maßgeblich von Ihren Suchbegriffen abhängig sind.

• CVSS
  • Common Vulnerability Scoring System (CVSS) bietet eine standardisierte Methode zur Bewertung der Schwere von Sicherheitslücken in Computersystemen und liefert eine numerische Punktzahl, die deren Auswirkungen und Ausnutzbarkeit widerspiegelt.
  • FIRST – CVSS
• CWE
  • Common Weakness Enumeration (CWE) ist eine Liste von Schwachstellentypen in Software und Hardware, die Organisationen ermöglicht, Sicherheitsanfälligkeiten konsistent über verschiedene Plattformen und Systeme hinweg zu verstehen und zu diskutieren.
  • MITRE – CWE
• CPE
  • Common Platform Enumeration (CPE) ist ein strukturiertes Benennungsschema zur Identifizierung von Klassen von Anwendungen, Betriebssystemen und Hardwaregeräten in einer IT-Umgebung, das weitgehend für Sicherheitsbewertungen verwendet wird.
  • NVD – CPE
• EPSS
  • Exploit Prediction Scoring System (EPSS) schätzt die Wahrscheinlichkeit, dass eine Software-Sicherheitslücke in den nächsten 30 Tagen praktisch ausgenutzt wird, und hilft Organisationen dabei, Patching- und Verteidigungsstrategien basierend auf dem Risiko zu priorisieren.
    • In der HTML-Tabelle werden EPSS Scores >= 0.1 mit einem orangen Icon dargestellt. Dieser Dezimalwert stellt eine Wahrscheinlichkeit dar, dass die CVE-Schwachstelle in den nächsten 30 Tagen aktiv ausgenutzt wird.
  • FIRST – EPSS
• KEV
  • Known Exploited Vulnerabilities (KEV) Katalog listet Sicherheitslücken auf, die von Bedrohungsakteuren ausgenutzt wurden und als besonders gefährlich gelten.
    • In der HTML-Tabelle werden CVEs mit vorhandenen KEV-Daten mit einem roten Icon dargestellt. Das bedeutet, dass die CVE-Schwachstelle öffentlich bekannt dafür ist, aktiv von Threat Actors ausgenutzt zu werden.
  • CISA – KEV

Unsere Suchdatenbank verwendet Ihren übermittelten Suchbegriff, um sogenannte CPE-Strings aufzufinden. Diese CPEs referenzieren Produkte und Versionsbereiche, welche letztlich bei einer CVE-Schwachstelle referenziert bzw. zuordnet werden.

Ihr Suchbegriff muss hierbei den betroffenen Produktnamen beinhalten, wie er auch in der NIST NVD Datenbank vorkommt. Versuchen Sie einfach verschiedene Begriffe, um den korrekten Namen einzuschränken. Eine RegEx-Suche mit Ihrem Keyword kommt bereits automatisch zum Einsatz.

Sollte trotz aller Versuche keine Produktversion gefunden werden können, so kann angenommen werden, dass keine CVE-Schwachstellen bestehen. Voraussetzung hierbei ist, dass Sie die Suche korrekt verwendet haben. Sollten Sie einen validen CPE-String bereits kennen, so können Sie diesen auch unmittelbar in der URL im GET-Parameter „cpe“ angeben. Wenn dann keine Daten zurückgeliefert werden und die Tabelle leer bleibt, sind keine CVEs bekannt.

Nehmen Sie gerne Kontakt mit uns auf, sollten Sie Unterstützung benötigen oder der Meinung sind, einen Fehler in unserem Dienst gefunden zu haben.

Dies ist darauf zurückzuführen, dass die Daten von der NIST NVD Datenbank bereitgestellt werden. Diese Daten können unvollständig oder fehlerhaft sein. Insbesondere, wenn eine Schwachstelle fehlerhaft eingereicht wurde oder noch zur Analyse aussteht.

Oftmals ist das Problem jedoch ganz einfach: Eine CVE-Schwachstelle steht noch zur Analyse aus und wurde keinem Produkt mittels eines CPE-Strings zugeordnet. Unsere API kann demnach Ihre Suchanfrage keinem Produkt oder einer Version zuordnen, weshalb die CVE nicht aufgelistet wird. Sobald die CVE von NIST zugeordnet wurde, wird sie von unserem Tool gefunden.

Sie sind sich sicher, dass Sie einen Fehler gefunden haben? Nehmen Sie gerne Kontakt mit uns auf.

Nein. Dies wird noch nicht unterstützt.

Bitte verwenden Sie die offizielle NIST NVD Seite unter Angabe Ihrer CVE-ID in der URL.

Beispiel:

• https://nvd.nist.gov/vuln/detail/CVE-2024-6886

Lediglich bestehende Partner und Kunden erhalten zukünftig uneingeschränkten Zugriff auf unsere neu entwickelte CVE-Suchdatenbank. Nichtsdestotrotz bieten wir unsere Dienstleistung gerne frei im Internet mit überschaubaren Einschränkungen zur Verfügung, sodass Interessenten unseren Dienst testen, jedoch unsere Server nicht mit automatisierten Suchanfragen überlasten können.

Sie haben Interesse an der kommerziellen Verwendung unserer CVE-API-Schnittstelle? Nehmen Sie gerne Kontakt mit uns auf.

Unsere API-Schnittstelle kann lediglich von autorisierten Partnern unmittelbar verwendet werden.

Für alle anderen Nutzer greift eine generelle CORS-Einschränkung. Die Antwort unserer API kann demnach aufgrund der Same-Origin-Policy (SOP) nicht ausgelesen werden.

Bitte verwenden Sie unser Frontend zur CVE-Suche unter https://cve.pentestfactory.de

Sie haben Interesse an der kommerziellen Verwendung unserer CVE-API-Schnittstelle? Nehmen Sie gerne Kontakt mit uns auf.