Uma vulnerabilidade é uma fraqueza ou um defeito em um componente de software ou hardware que os invasores exploram. As vulnerabilidades se aplicam ao STIX 2.x.

O ponto fraco ou defeito está nos requisitos, designs ou implementações do código encontrado em um componente de software ou hardware. Esse ponto fraco é explorado diretamente para afetar negativamente a confidencialidade, a integridade ou a disponibilidade desse sistema.

CVE é uma lista de vulnerabilidades e exposições de segurança da informação que fornece nomes comuns para problemas conhecidos publicamente [CVE].

Por exemplo, se um malware explorar CVE-2015-12345, um objeto Malware poderá ser vinculado a um objeto Vulnerability que faça referência a CVE-2015-12345.