En svakhet i programvare som kan utnyttes til å gjøre noe systemet ikke skulle tillate.
Kjente sårbarheter får en CVE-identifikator og publiseres åpent — også for angripere. Fordi moderne systemer stort sett består av tredjepartskode, blir et system som ikke oppdateres usikkert av seg selv over tid, uten at noen rører det. Automatisk skanning av avhengigheter bør være et krav.
Relaterte begreper: OWASP · Penetrasjonstest · Teknisk gjeld