Glosario
Qué es un CVE: el 'dorsal' compartido de las vulnerabilidades
Un CVE asigna a cada vulnerabilidad un identificador único (p. ej. CVE-2025-12345) para que todos llamen al mismo agujero de la misma manera. Cómo leerlo, en qué se diferencian CVE / CVSS / KEV y cómo un desarrollador independiente puede mantenerse al día de forma realista con monitoreo automatizado.
"CVE-2021-44228", "CVE-2017-5638": los números que encabezan toda gran brecha. Aquí tienes qué son en realidad y cómo un desarrollador independiente puede mantenerse al día de forma realista.
Cómo leer el número
Un identificador CVE tiene tres partes. El número en sí no lleva significado de gravedad (eso es algo aparte).
Por qué hace falta
Constantemente se encuentran vulnerabilidades. Sin un nombre compartido, "ese agujero al que te refieres" y "este agujero que arreglé" podrían no ser lo mismo. Un identificador común permite que las noticias, los parches, los escáneres y las bases de datos apunten exactamente a la misma vulnerabilidad. Ese es el punto de partida de cualquier arreglo.
CVE vs CVSS vs KEV: no los confundas
Estos tres viajan juntos pero responden a preguntas distintas. Usas los tres para priorizar.
| Término | Responde | Ejemplo |
|---|---|---|
| CVE | Qué vulnerabilidad (el nombre) | CVE-2021-44228 (Log4Shell) |
| CVSS | Lo grave que es (0–10) | 10.0 (la peor clase) |
| KEV | ¿Se está explotando? | En la lista de explotadas → máxima prioridad |
Un CVSS alto no es automáticamente la máxima prioridad
La puntuación es un "valor teórico del peor caso". En la práctica, pondera KEV (si se está explotando ahora mismo) y si usas la función afectada. Un 10.0 que no usas tiene poco impacto; una puntuación media bajo explotación activa es la máxima prioridad.
De la asignación al arreglo
Un CVE no se publica en el instante en que se encuentra: pasa por una coordinación.
Descubrimiento e informe
Reservado
Publicado
Explotado (KEV)
Una forma realista de mantenerse al día
Seguir cada CVE a mano es imposible, y el fallo se convierte en el incidente. → Un CVSS 10.0 público desatendido durante meses
Así que deja que vigilen las máquinas.
Errores comunes
- Leer las noticias y juzgar "probablemente esté bien" a mano
- Medir el riesgo solo a partir del texto de
package.json - "Actualizar algún día", sin fecha límite
Deja que vigilen las máquinas
- Dependabot (GitHub): PRs automáticas para los CVE que coinciden con tus dependencias
- osv-scanner (Google): revisa tu lockfile en CI, en un solo paso
- Juzga por la versión que realmente se ejecuta (no por el mínimo declarado)
La clave es juzgar por la versión que realmente se ejecuta: el mínimo de package.json miente (esta mala interpretación también alimentó un incidente de RCE).
Sigue leyendo
- Glosario: Qué es CVSS (la rúbrica de gravedad) · Qué es RCE
- Defensa: Crea una rutina de seguimiento de CVE
FAQ
Q¿Cómo leo un número CVE?
Es 'CVE-año-secuencia'. Por ejemplo, CVE-2025-12345 se asignó en 2025. El número en sí no indica gravedad: la gravedad se expresa por separado mediante CVSS. La secuencia no está fijada a cuatro dígitos; crece según haga falta.
Q¿Cuál es la diferencia entre CVE, CVSS y KEV?
CVE es el nombre (qué vulnerabilidad), CVSS es la puntuación de gravedad de 0 a 10 (lo grave que es) y KEV es una lista de vulnerabilidades observadas en explotación real. Para priorizar, da tanto peso a KEV (que se esté atacando ahora) como a un CVSS alto.
Q¿No es imposible que un solo desarrollador siga cada CVE?
A mano, sí, y los fallos se convierten en incidentes. Por eso deja que vigilen las máquinas: Dependabot (GitHub) u osv-scanner te avisan automáticamente de los CVE que coinciden con tus dependencias.