Lista de PoCs para CVEs

Common Vulnerabilities and Exposures o CVE, es un estándar que asigna valores únicos a vulnerabilidades de seguridad. Es un proyecto subvencionado por el gobierno de los EEUU y mantenido por MITRE.

Cuando descubres una vulnerabilidad, si el producto afectado es parte de la lista que monitoriza MITRE, puedes enviarles la información sobre la misma y si es aceptada, se le agigna un número único con el formato CVE-YYYY-XXXXX, dónde YYYY es el año y XXXXX es un número secuencial, que se reinicia cada año, lo que hace que la combinación YYYY-XXXXX sea única.

A parte de a la asignación de dicho número, a éste también se le asigna un estado, de forma que se puede tracear si la vulnerabilidad ha sido corregida o no y en qué versión del producto. Normalmente cuando la vulnerabilidad ha sido corregida, el descubridor de la misma, suele liberar los detalles de explotaión y/o un ejemplo de cómo explotarla, lo que también se conoce como prueba de concepto o Proof Of Concept (POC).

Este repositorio en Github, contiene una gran lista de PoCs para CVEs. La lista provee una pequeña descripción sobre la vulnerabilidad en si, y un enlace al código de ejemplo que la explota.

Este es un recurso muy educativo, donde podemos ver exploits de vulnerabilidades reales.

Fuente: CyberHades