Hvad betyder CVE?
CVE står for Common Vulnerabilities and Exposures, der løst oversat betyder “kendte sårbarheder og svagheder”. Det er ikke et stykke software, men et opslagssystem: hver gang der findes en ny sikkerhedsfejl i et kendt produkt, får den et unikt nummer, så alle i verden kan henvise til præcis den samme fejl.
Et CVE-ID ser sådan ud: CVE-2026-56216. Første del er året, anden del er et løbenummer. Systemet drives af den amerikanske non-profit MITRE, og de tekniske detaljer samles i NIST’s National Vulnerability Database (NVD). Når en leverandør som Microsoft, Fortinet eller WordPress melder en fejl, er det dette ID, alle refererer til — fra sikkerhedsforskere til myndigheder.
Sådan er en CVE bygget op
En CVE er mere end bare et nummer. Hver post indeholder typisk:
- En beskrivelse af hvad fejlen er, og hvordan den kan udnyttes.
- En CVSS-score fra 0 til 10, der angiver hvor alvorlig fejlen er.
- Ramte produkter og versioner — altså hvilke systemer der er sårbare.
- Henvisninger til leverandørens rettelse (patch) eller midlertidige løsninger.
Tilsammen giver det et fælles sprog, så den samme sårbarhed kan forstås og håndteres ens på tværs af lande og leverandører.
NVD og EUVD — to store databaser
De tekniske detaljer om CVE’er samles primært to steder. I USA har man NVD (National Vulnerability Database), der i mange år har været den centrale kilde. I EU lancerede cybersikkerhedsagenturet ENISA i 2025 sin egen EUVD (EU Vulnerability Database). Databasen er oprettet som en del af NIS2-direktivet og er Europas modstykke til den amerikanske NVD. Den samler sårbarhedsdata med fokus på det europæiske marked, blandt andet med oplysninger om hvilke fejl der aktivt udnyttes.
For jer betyder det, at der nu findes en europæisk kilde, som supplerer de amerikanske — relevant netop fordi NIS2 og EU’s øvrige cyberregler stiller stigende krav til, at I holder styr på sårbarheder.
Hvorfor er CVE’er svære at bruge i praksis?
Problemet er ikke systemet, men mængden og sproget. Der offentliggøres tusindvis af nye CVE’er hver måned, og langt de fleste beskrivelser er på engelsk og skrevet til sikkerhedseksperter. For en almindelig virksomhed er det svært at vide, hvilke der overhovedet er relevante — og mindst lige så svært at forstå, hvad man konkret skal gøre.
Resultatet er, at vigtige sårbarheder drukner i støj. En kritisk fejl i et system, I faktisk bruger, kan ligge side om side med tusind poster om software, I aldrig har hørt om.
Sådan gør Auroa CVE’er forståelige
Hos Auroa indhenter vi løbende nye sårbarheder direkte fra NIST’s officielle database og filtrerer dem, der er relevante for de systemer, danske virksomheder rent faktisk bruger — Microsoft 365, WordPress, Fortinet, firewalls og lignende.
De relevante oversætter vi til klart dansk og koger dem ned til tre ting, I kan forstå med det samme: hvad fejlen er, hvad den betyder for jer, og hvad I skal gøre nu. Se vores løbende oversigt i vores CVE-database, hvor hver sårbarhed er forklaret i et sprog, I kan handle på — uden teknisk jargon.
Hvem bør holde øje med CVE’er?
Kort sagt: enhver virksomhed, der bruger it — altså stort set alle. I behøver ikke læse hver eneste CVE, men nogen bør holde øje med de sårbarheder, der rammer netop jeres systemer. I praksis sker det bedst gennem løbende overvågning, så I bliver advaret, når noget relevant dukker op — frem for at finde ud af det, når skaden allerede er sket.