Ogni volta che si parla di sicurezza informatica, prima o poi compare una sigla seguita da numeri: CVE-2026-2796, CVE-2021-44228, CVE-2014-0160. Ma che cosa significano esattamente queste sigle? E perché sono così importanti — non solo per gli esperti, ma per chiunque utilizzi un computer, uno smartphone o un browser?
CVE: Common Vulnerabilities and Exposures
CVE sta per Common Vulnerabilities and Exposures, ovvero “Vulnerabilità ed Esposizioni Comuni”. È un sistema di catalogazione internazionale che assegna un identificativo univoco a ogni vulnerabilità di sicurezza informatica scoperta nel software, nel firmware o nell’hardware.
Il sistema è stato lanciato nel settembre 1999 dalla MITRE Corporation, un’organizzazione no-profit statunitense che gestisce centri di ricerca finanziati dal governo federale. L’obiettivo era semplice ma ambizioso: creare un linguaggio comune per identificare le vulnerabilità, evitando che ogni azienda o ricercatore usasse nomi e riferimenti diversi per lo stesso problema.
Oggi il programma CVE è finanziato dalla Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento della Sicurezza Interna degli Stati Uniti.
Come funziona un identificativo CVE
Ogni CVE segue un formato standard:
CVE-ANNO-NUMERO
Ad esempio:
- CVE-2026-2796 — la vulnerabilità critica JIT/WebAssembly scoperta da Claude in Firefox
- CVE-2021-44228 — la celebre Log4Shell
- CVE-2014-0160 — Heartbleed, la falla in OpenSSL
L’anno indica quando la CVE è stata assegnata o quando la vulnerabilità è stata resa pubblica. Il numero progressivo è unico a livello globale.
Chi assegna le CVE?
Le CVE vengono assegnate dalle CNA (CVE Numbering Authorities), organizzazioni autorizzate a emettere identificativi. Oggi esistono oltre 389 CNA in 40 paesi del mondo, tra cui:
- MITRE — l’autorità principale e “root” del sistema
- Microsoft, Google, Apple, Red Hat, Mozilla — per i propri prodotti
- Ricercatori indipendenti — che segnalano vulnerabilità e richiedono un CVE ID
Il processo tipico è:
- Un ricercatore scopre una vulnerabilità
- Contatta la CNA competente (spesso il vendor del software)
- La CNA valuta e assegna un CVE ID
- La vulnerabilità viene documentata con descrizione, prodotto e versioni affette
- Viene pubblicata nel database pubblico
CVSS: il punteggio di gravità
Ogni CVE viene valutata con il CVSS (Common Vulnerability Scoring System), un sistema di punteggio da 0.0 a 10.0 che misura la gravità della vulnerabilità. Il punteggio viene calcolato dal NVD (National Vulnerability Database) del NIST.
| Punteggio CVSS | Gravità | Esempio |
|---|---|---|
| 0.0 | Nessuna | — |
| 0.1 – 3.9 | Bassa | Information disclosure minore |
| 4.0 – 6.9 | Media | Cross-Site Scripting semplice |
| 7.0 – 8.9 | Alta | Esecuzione di codice con interazione utente |
| 9.0 – 10.0 | Critica | Esecuzione di codice remoto senza autenticazione |
Il CVSS è attualmente alla versione 4.0 (rilasciata nel novembre 2023) e considera metriche come: vettore di attacco, complessità, privilegi richiesti, interazione utente e impatto su confidenzialità, integrità e disponibilità.
Il lato oscuro: le CVE pubbliche come arma per i malintenzionati
Ecco il paradosso centrale del sistema CVE: la trasparenza che protegge è la stessa che espone al rischio.
Quando una CVE viene pubblicata, tutti possono leggerla — inclusi ricercatori di sicurezza, aziende, amministratori di sistema, ma anche criminali informatici, gruppi ransomware e attori statali. La descrizione tecnica della vulnerabilità, spesso accompagnata da proof-of-concept (PoC), diventa di fatto una “ricetta” che abbassa la barriera di ingresso per lo sfruttamento.
La corsa contro il tempo
I dati sono allarmanti: secondo uno studio di VulnCheck, nel 2025 circa il 28,96% delle vulnerabilità note sfruttate attivamente (presenti nel catalogo KEV della CISA) sono state sfruttate il giorno stesso o prima della pubblicazione del CVE. Ciò significa che gli attaccanti spesso conoscono e sfruttano la falla prima ancora che venga catalogata pubblicamente.
Nella maggior parte dei casi, il proof-of-concept viene pubblicato entro due settimane dalla disclosure, facilitando lo sfruttamento da parte di attori meno sofisticati.
Il pattern di attacco
Il ciclo tipico è:
- Attori statali (gruppi APT sponsorizzati da governi) sfruttano la vulnerabilità per primi, spesso come zero-day
- La CVE viene pubblicata e il vendor rilascia la patch
- Gruppi ransomware e criminali comuni iniziano lo sfruttamento di massa, puntando a chi non ha ancora aggiornato
- La vulnerabilità continua a essere sfruttata per mesi o anni contro sistemi non patchati
Questo è esattamente il motivo per cui il sistema CVE esiste: tenere traccia di ogni vulnerabilità conosciuta, assegnare un identificativo univoco, documentare la gravità e le contromisure, e creare un registro pubblico che permetta a tutti — aziende, governi, utenti — di sapere cosa patchare e con quale priorità.
Senza il sistema CVE, il caos sarebbe totale: nessun modo standardizzato per comunicare le minacce, nessun database centralizzato, nessuna prioritizzazione. I malintenzionati sfrutterebbero comunque le falle, ma i difensori non avrebbero un linguaggio comune per reagire.
Le CVE che hanno fatto la storia
Heartbleed — CVE-2014-0160
Una falla in OpenSSL, la libreria crittografica usata da due terzi del web. Permetteva a chiunque di leggere la memoria dei server, esponendo chiavi private, password e dati sensibili. A giugno 2014, oltre 309.000 server pubblici erano ancora vulnerabili. Heartbleed ha dimostrato come un singolo bug in una libreria open source possa mettere a rischio l’intero internet.
EternalBlue — CVE-2017-0144
Un exploit sviluppato dalla NSA statunitense, trafugato e reso pubblico dal gruppo Shadow Brokers nel 2017. Sfruttava una falla nel protocollo SMB di Windows. Nonostante Microsoft avesse rilasciato la patch un mese prima della fuga, EternalBlue divenne il motore del ransomware WannaCry: 300.000+ computer compromessi in 150 paesi, danni per miliardi di dollari. Ospedali, fabbriche e infrastrutture critiche bloccate.
Log4Shell — CVE-2021-44228
Forse la CVE più devastante della storia recente. Una vulnerabilità in Log4j, una libreria Java usata da centinaia di milioni di dispositivi e servizi. Punteggio CVSS: 10.0 (il massimo). L’exploit era banale da eseguire e poteva colpire server cloud, applicazioni enterprise, dispositivi IoT. Dieci giorni dopo la disclosure, solo il 45% dei sistemi vulnerabili era stato aggiornato.
CVE-2026-2796 — La scoperta di Claude in Firefox
Notizia recentissima: come abbiamo raccontato nel nostro precedente articolo, il modello AI Claude Opus 4.6 di Anthropic ha scoperto 22 vulnerabilità in Firefox in sole due settimane. La più critica, CVE-2026-2796, è una miscompilazione JIT nel componente WebAssembly con punteggio CVSS 9.8. È stata corretta in Firefox 148.
Il ciclo di vita di una CVE
- Scoperta — Un ricercatore, un’azienda o un’IA individua la vulnerabilità
- Segnalazione riservata — Il bug viene comunicato privatamente al vendor (responsible disclosure)
- Assegnazione CVE ID — Una CNA assegna l’identificativo univoco
- Sviluppo patch — Il vendor prepara la correzione
- Pubblicazione coordinata — CVE e patch vengono pubblicati contemporaneamente
- Valutazione CVSS — Il NVD calcola il punteggio di gravità
- Aggiornamento sistemi — Amministratori e utenti applicano la patch
- Monitoraggio — La CISA aggiunge le CVE sfruttate attivamente al catalogo KEV
La crisi del finanziamento: il CVE ha rischiato di sparire
Ad aprile 2025, il mondo della cybersecurity ha trattenuto il fiato: il contratto tra il governo USA e MITRE per la gestione del programma CVE stava per scadere il 16 aprile 2025, senza rinnovo in vista.
Se il servizio si fosse interrotto, le conseguenze sarebbero state:
- Deterioramento dei database nazionali delle vulnerabilità
- Rallentamento della reazione dei vendor
- Impatto sulle operazioni di risposta
- Rischi per le infrastrutture critiche
La CISA è intervenuta la notte prima della scadenza, estendendo il contratto di 11 mesi (fino a circa marzo 2026). Nel frattempo, è stata fondata la CVE Foundation, un’organizzazione no-profit che mira a garantire la continuità e l’indipendenza del programma CVE a lungo termine, svincolandolo dalla dipendenza dal finanziamento governativo statunitense.
Perché tutto questo riguarda anche te
Potresti pensare che le CVE siano un argomento per specialisti. In realtà, ogni volta che il tuo smartphone ti chiede di installare un aggiornamento, ogni volta che il browser si aggiorna automaticamente, quasi certamente vengono corrette delle CVE.
Quando Mozilla rilascia Firefox 148 con la correzione di 22 vulnerabilità, quando Apple pubblica un aggiornamento “urgente” per iOS, quando Microsoft distribuisce le patch del “Patch Tuesday” — dietro ci sono sempre delle CVE.
Il consiglio più importante? Aggiorna sempre i tuoi dispositivi. Ogni giorno che passa senza applicare una patch è un giorno in cui i malintenzionati possono sfruttare una vulnerabilità già documentata pubblicamente per accedere ai tuoi dati.
Fonti e approfondimenti
- CVE.org — Sito ufficiale del programma CVE
- NVD — National Vulnerability Database (NIST)
- CISA — Known Exploited Vulnerabilities Catalog
- Red Hat — What is a CVE?
- IBM — What Is CVE?
- Wikipedia — Common Vulnerabilities and Exposures
- VulnCheck — State of Exploitation 2026
- RiparaTa.it — Claude Code e Firefox: quando l’IA scova vulnerabilità critiche
