CNA (CVE Numbering Authority)

CNA CVE Numbering Authority é uma organização autorizada pela MITRE Corporation a atribuir identificadores CVE oficiais para vulnerabilidades de segurança em produtos sob seu escopo. Cada CNA cobre um conjunto específico de software, hardware ou serviços e responde diretamente pelo processo de descoberta, validação e publicação dos CVEs. A FULL Services é a primeira CNA brasileira focada exclusivamente no ecossistema WordPress.

O que é uma CNA

O programa CVE (Common Vulnerabilities and Exposures) é o padrão global de catalogação de vulnerabilidades de segurança, mantido pela MITRE Corporation desde 1999 com financiamento do governo dos Estados Unidos. Cada vulnerabilidade reportada e validada recebe um identificador único no formato CVE-AAAA-NNNNN, onde AAAA é o ano e NNNNN um número sequencial.

A questão prática é: quem emite esses identificadores? Originalmente, só a MITRE. Mas com o crescimento explosivo do número de vulnerabilidades reportadas, isso virou gargalo. A solução foi descentralizar via CNAs — organizações pré-aprovadas que recebem blocos de números CVE e podem emitir oficialmente dentro do seu escopo.

Hoje existem mais de 400 CNAs no mundo, divididas entre fornecedores (Microsoft, Apple, Google, Oracle, Red Hat), pesquisadores de segurança independentes (Wordfence, Patchstack), bug bounty platforms (HackerOne) e organizações setoriais. Cada uma cobre um escopo definido — Microsoft cuida dos seus produtos, Patchstack cuida de plugins WordPress de terceiros, e assim por diante.

O que é cna na prática: uma CNA é a ponte oficial entre quem descobre uma vulnerabilidade (pesquisador, time interno, white hat) e o registro público no banco de dados global. Sem CNA, uma vulnerabilidade existe mas não tem identificador oficial — o que dificulta comunicar, rastrear, corrigir e priorizar.

Como funciona o sistema CNA/CVE

O fluxo de um CVE começa com a descoberta. Um pesquisador encontra uma vulnerabilidade em um plugin, tema ou software. Em vez de divulgar publicamente, segue o processo de disclosure responsável: reporta à CNA correspondente ao produto e dá ao desenvolvedor tempo para corrigir antes da publicação.

A CNA recebe o report, valida tecnicamente se a vulnerabilidade existe de fato, classifica a severidade usando o padrão CVSS (Common Vulnerability Scoring System) com nota de 0 a 10, e atribui um número CVE do bloco que recebeu da MITRE. O número é reservado mas ainda não público.

Em paralelo, a CNA notifica o desenvolvedor afetado e coordena a correção. Quando o patch é lançado, a CNA publica oficialmente o CVE com descrição técnica, versões afetadas, versões corrigidas, e referências para o boletim do desenvolvedor. Esse registro vai para o NVD (National Vulnerability Database), bases como Patchstack e WPScan, e fica disponível mundialmente.

O sistema só funciona porque há regras claras. CNAs precisam responder em prazos definidos, manter padrões mínimos de qualidade nos registros e seguir políticas de disclosure. Quem não cumpre perde o status. A mitre cna mantém auditoria contínua e remove organizações que falham no processo.

FULL Services como CNA brasileira

A FULL Services foi reconhecida como a primeira CNA brasileira focada em WordPress. Isso significa que a empresa tem autoridade oficial para emitir CVEs para vulnerabilidades descobertas em plugins, temas e código WordPress dentro do seu escopo declarado, seguindo todos os padrões internacionais do programa CVE.

O escopo da FULL como CNA cobre principalmente os plugins e produtos do ecossistema WordPress que ela mantém ou audita. Quando o time de segurança da empresa encontra uma vulnerabilidade em um plugin sob escopo, segue o processo formal: notifica o desenvolvedor responsável, valida a vulnerabilidade, atribui um CVE oficial e publica após a correção.

O reconhecimento como CNA não é trivial. Exige histórico comprovado em pesquisa de segurança, equipe técnica capacitada, processos documentados de disclosure responsável e auditoria pela MITRE. É um selo que diferencia organizações que tratam segurança como pilar do produto, não como reação a incidente.

Para o mercado brasileiro de WordPress, ter uma CNA local é um marco. Significa que pesquisadores brasileiros têm um canal direto, em português, para reportar vulnerabilidades em plugins do ecossistema. Significa também que o ciclo de disclosure pode ser mais rápido para plugins desenvolvidos no Brasil — sem precisar passar por CNAs estrangeiras.

Importância para a segurança WordPress

O WordPress hoje roda em mais de 40% de todos os sites do mundo. Isso atrai pesquisadores de segurança que descobrem vulnerabilidades regularmente em plugins e temas — em 2024 foram registrados mais de 7 mil CVEs apenas no ecossistema WordPress, segundo dados da Patchstack. Sem CNAs especializadas, esse volume seria impossível de processar.

O sistema CNA garante que vulnerabilidades sejam tratadas com método. Antes da divulgação pública, há tempo para o desenvolvedor corrigir. Depois da publicação, há identificador único que permite a plugins de segurança e firewalls bloquearem ataques específicos. É a base do modelo de defesa em camadas que mantém o WordPress utilizável em escala.

Para administradores de site, o CVE é referência direta. Quando um plugin lança update marcado como “security release”, o changelog costuma referenciar os CVEs corrigidos. É como administradores priorizam updates: vulnerabilidade com CVE de severidade alta, atualizar imediatamente. Vulnerabilidade menor, agendar para a janela de manutenção.

Para o ecossistema todo, ter mais CNAs especializadas significa cobertura mais rápida e profunda. CVEs publicados antes alimentam scanners de malware, regras de WAF e plugins de monitoramento. Quanto antes uma vulnerabilidade vira CVE público com correção disponível, mais sites são protegidos antes de serem explorados.

Para empresas que precisam operar com esse padrão de segurança em WordPress sem montar time interno, a FULL Services entrega o AIOS (All-In-One Security) já licenciado e configurado dentro da stack profissional, integrado ao trabalho contínuo da própria FULL como CNA — incluindo monitoramento de vulnerabilidades publicadas, regras automáticas de bloqueio e SSL calibrado. Em vez de acompanhar feeds de CVE manualmente, você roda em uma stack mantida por quem participa diretamente do processo de disclosure.