ما هو الـ CVE؟ فهم معرّفات الثغرات (2026)
9 يونيو 2001 · بواسطة Pentevo
إن كنت تتابع الأمن ولو قليلًا، فقد رأيت معرّفات مثل CVE-2024-3094. الـ CVE (Common Vulnerabilities and Exposures) هو معرّف فريد لثغرة أمنية محددة ومعروفة علنًا. إنه اللغة المشتركة التي تتيح للجميع — المورّدين، والمدافعين، والأدوات — الإشارة إلى الثغرة نفسها دون التباس.
كيف يعمل المعرّف
يتفكّك CVE-2024-3094 إلى:
- CVE — البادئة.
- 2024 — سنة الإسناد.
- 3094 — رقم تسلسلي فريد.
هذا كل شيء. المعرّف نفسه لا يحمل درجة خطورة — إنه مجرد اسم.
CVSS: ما مدى خطورتها؟
تأتي الخطورة من CVSS (نظام تسجيل الثغرات المشترك)، وهو درجة من 0 إلى 10:
- 9.0–10.0 حرجة
- 7.0–8.9 مرتفعة
- 4.0–6.9 متوسطة
- 0.1–3.9 منخفضة
يعكس CVSS مدى سوء الأمر المحتمل، آخذًا في الحسبان أمورًا مثل تعقيد الهجوم والأثر.
EPSS و KEV: هل ستُستغَل فعلًا؟
يخبرك CVSS بالخطورة لا بالاحتمال. هناك إشارتان أحدث تساعدانك على تحديد الأولوية:
- EPSS — احتمال أن تُستغَل الثغرة في الواقع.
- KEV (الثغرات المستغَلّة المعروفة) — قائمة بالثغرات التي تُستغَل بالفعل. إذا كانت ثغرة على قائمة KEV، رقّعها الآن.
قد تكون ثغرة «متوسطة» على قائمة KEV أكثر إلحاحًا بكثير من ثغرة «حرجة» لا يستغلها أحد.
لماذا يهمّ هذا
تظهر عشرات الآلاف من الثغرات الجديدة كل عام — لا يمكنك ترقيع كل شيء دفعة واحدة. تحديد الأولويات الذكي = الخطورة (CVSS) × الاحتمال (EPSS/KEV) × التعرّض (هل هي متاحة عبر الإنترنت؟). معظم الاختراقات الواقعية تستغل ثغرات معروفة لم تُرقَّع في الوقت المناسب، لا ثغرات يوم صفر نادرة.
تابِع الثغرات المهمة
نُدير متتبّع CVE حيًّا بأحدث الثغرات ودرجات الخطورة وإشارات الاستغلال — وسيلة سريعة للبقاء على اطّلاع بما يستجدّ.
ولفهم كيف تُكتشَف هذه الثغرات ويُتحقَّق منها، اقرأ ما هو اختبار الاختراق؟ أو ابدأ أكاديمية Pentevo المجانية.
الأسئلة الشائعة
ماذا يعني CVE؟
CVE اختصار لـ Common Vulnerabilities and Exposures، وهو معرّف فريد لثغرة أمنية محددة ومعروفة علنًا. يعمل كلغة مشتركة تتيح للمورّدين والمدافعين والأدوات الإشارة إلى الثغرة نفسها دون التباس. المعرّف نفسه لا يحمل درجة خطورة — إنه مجرد اسم.
ما الفرق بين CVE و CVSS؟
الـ CVE هو معرّف الثغرة، بينما CVSS (نظام تسجيل الثغرات المشترك) يقيس خطورتها على مقياس من 0 إلى 10. الـ CVE يسمّي الثغرة؛ ودرجة CVSS تخبرك كم يمكن أن تكون سيئة. وقد يوجد الـ CVE قبل أن تُسنَد إليه درجة CVSS نهائية.
ما هو EPSS و KEV؟
EPSS هو احتمال أن تُستغَل الثغرة فعليًا في الواقع، بينما KEV (الثغرات المستغَلّة المعروفة) قائمة بالثغرات التي يجري استغلالها بالفعل. إذا كانت الثغرة على قائمة KEV، رقّعها الآن. قد تكون ثغرة «متوسطة» على قائمة KEV أكثر إلحاحًا من ثغرة «حرجة» لا يستغلها أحد.
كيف أحدّد أولوية الثغرات التي أرقّعها أولًا؟
اجمع ثلاثة عوامل: الخطورة (CVSS)، واحتمال الاستغلال (EPSS/KEV)، والتعرّض (هل النظام متاح عبر الإنترنت؟). معظم الاختراقات الواقعية تستغل ثغرات معروفة لم تُرقَّع في الوقت المناسب، لا ثغرات يوم صفر نادرة. تحديد الأولويات الذكي يحمي أكثر من محاولة إصلاح كل شيء دفعة واحدة.
مقالات ذات صلة
ثغرات اليوم صفر: شرح كامل (2026)
ما هي ثغرة اليوم صفر، ولماذا هي بالغة الخطورة، وكيف تُستخدم هجمات اليوم صفر، وما الذي يستطيع المدافعون فعله حيال المجهول.
Fundamentalsشرح الـ VPN: ماذا يفعل (وماذا لا يفعل) — 2026
كيف يعمل الـ VPN فعلًا، ومِمّ يحميك، ومِمّ لا يحميك، وكيف تختار واحدًا — دون مبالغات التسويق.
Fundamentalsما هو اختبار الاختراق؟ دليل المبتدئين (2026)
دليل مبسّط لاختبار الاختراق: ما هو، والمراحل الخمس، وأنواعه الرئيسية، وكيف يختلف عن فحص الثغرات.
Fundamentalsما هو جدار الحماية؟ الأنواع وكيف يعمل (2026)
شرح واضح لجدران الحماية — ماذا تفعل، وأنواعها الرئيسية (ترشيح الحزم، والفحص الحالتي، وNGFW، وWAF)، وكيف تندرج ضمن دفاع متعدد الطبقات.
طبّق هذا عمليًا
أكاديمية Pentevo تحوّل هذه المفاهيم إلى دروس موجّهة وفيديوهات واختبارات — مجانًا.
ابدأ التعلّم مجانًا