Une vulnérabilité est une faiblesse ou un défaut dans un composant logiciel ou matériel que les attaquants exploitent. Des vulnérabilités s’appliquent à STIX 2.x.

La faiblesse ou le défaut réside dans les exigences, les conceptions ou les implémentations du code trouvé dans un composant logiciel ou matériel. Cette faiblesse est directement exploitée pour avoir un impact négatif sur la confidentialité, l’intégrité ou la disponibilité de ce système.

CVE est une liste de vulnérabilités et d’expositions en matière de sécurité de l’information qui fournit des noms communs pour les problèmes connus du public [CVE].

Par exemple, si un logiciel malveillant exploite CVE-2015-12345, un objet malveillant peut être lié à un objet de vulnérabilité qui fait référence à CVE-2015-12345.