WebImpulsion
Retour au blog
CVECVSSVulnérabilitésSécuritéNVD

CVE et score CVSS : comprendre les vulnérabilités de vos technologies

W
WebImpulsion14 mai 2026

Votre site utilise WordPress, React ou nginx ? Chaque technologie exposée peut porter des CVE connues exploitables par n'importe qui. Voici comment les lire, les scorer avec le CVSS et les prioriser.

Qu'est-ce qu'une CVE ?

CVE signifie Common Vulnerabilities and Exposures. Il s'agit d'un identifiant unique attribué à chaque vulnérabilité de sécurité connue publiquement. Par exemple : CVE-2024-4577 est une vulnérabilité critique dans PHP qui permettait l'exécution de code à distance.

Ces identifiants sont gérés par le MITRE et alimentent toutes les bases de données de cybersécurité mondiales.

Le score CVSS : comment prioriser ?

Le CVSS (Common Vulnerability Scoring System) attribue un score de 0 à 10 à chaque CVE selon plusieurs critères :

- Vecteur d'attaque (réseau, local, physique) - Complexité de l'exploitation - Privilèges requis - Impact sur la confidentialité, l'intégrité et la disponibilité

Les niveaux de criticité

Score 0.0 : Aucun risque Score 0.1 – 3.9 : Faible Score 4.0 – 6.9 : Moyen Score 7.0 – 8.9 : Élevé Score 9.0 – 10.0 : Critique

Pourquoi les technologies exposées sont dangereuses

Lorsque WebImpulsion détecte qu'un site utilise WordPress 6.4.1, nginx 1.18.0 ou jQuery 1.11.0, il croise ces versions avec la base NVD (National Vulnerability Database) pour identifier les CVE connues associées.

Un attaquant peut faire exactement la même chose — automatiquement, à grande échelle.

Les erreurs les plus fréquentes

La première erreur est de ne pas mettre à jour ses dépendances. Des versions obsolètes de CMS, plugins ou bibliothèques JavaScript sont la source de la majorité des compromissions.

La deuxième est d'exposer des informations de version dans les headers HTTP ou le code source. Un header "X-Powered-By: PHP/7.4.3" offre gratuitement la version exacte à un attaquant.

Comment se protéger ?

Mettez à jour régulièrement vos technologies. Activez les mises à jour automatiques quand c'est possible. Masquez les versions dans vos headers. Suivez les bulletins de sécurité des projets que vous utilisez.

WebImpulsion surveille en continu les technologies détectées sur vos actifs et vous alerte dès qu'une nouvelle CVE critique est publiée pour une version que vous utilisez.

WebImpulsion

Analysez votre site dès maintenant

Audit complet en ~30 secondes. Performance, sécurité, CVE, DNS, TLS.

Accéder à la plateforme