Què analitzem?
CVE (Common Vulnerabilities and Exposures) és una llista pública de vulnerabilitats de seguretat conegudes. Correlacionem les tecnologies detectades al teu lloc amb bases de dades de CVEs per identificar vulnerabilitats que afectin el teu stack.
Procés de detecció
Base de dades NVD
Consulta a la National Vulnerability Database del NIST.
Correlació de versions
Matching de les versions detectades amb CVEs coneguts.
Severitat CVSS
Classificació segons el sistema de puntuació CVSS (0-10).
Exploits públics
Verificació de si existeixen exploits públics disponibles.
Pegats disponibles
Informació sobre actualitzacions que corregeixen la vulnerabilitat.
Referències tècniques
Enllaços a OWASP, CWE i documentació de mitigació.
Per què és important?
El 60% dels ciberatacs exploten vulnerabilitats conegudes per a les quals ja existeix pegat. No actualitzar el programari o desconèixer les vulnerabilitats que afecten el teu stack és una de les principals causes de bretxes de seguretat.
Impacte si falla
- Explotació de vulnerabilitats conegudes per atacants
- Execució remota de codi al teu servidor
- Accés no autoritzat a dades sensibles
- Possible responsabilitat per negligència
Marc legal aplicable
No pegar vulnerabilitats conegudes pot considerar-se negligència segons el RGPD. L'AEPD ha sancionat empreses per no mantenir els seus sistemes actualitzats.
Sancions potencials
| Tipus d'empresa | Multa orientativa |
|---|---|
| Microempresa | 10.000 - 50.000 € |
| PIME | 20.000 - 300.000 € |
| Gran empresa | Fins a 20M € o 4% facturació |