CVE es el más cercano a una base de datos central, aunque se describen a sí mismos como "un diccionario, no una base de datos".
Su objetivo es proporcionar un identificador único para cada problema de seguridad conocido. Antes de CVE, a menudo habría confusión porque los nombres se usaron, por lo que una herramienta de escaneo de red podría informar de "Desbordamiento de búfer en el Servicio de Windows Server", mientras que otra informaría "Ejecución de código en Windows". CVE resuelve este problema dando a cada problema un identificador único como CVE-2008-4250. El uso de CVE es casi universal: casi todos los proveedores e investigadores se comunicarán con CVE para obtener un número único antes de emitir un aviso. Una cosa a tener en cuenta es que no es completamente universal.
Un número CVE corresponde a una vulnerabilidad conocida en una pieza particular de software comercial o de código abierto. Por lo tanto, la "secuencia de comandos entre sitios" es un problema genérico y no tiene su propio CVE (en realidad, para eso es CWE). Pero "las secuencias de comandos entre sitios en Apache Roller" obtendrían un CVE. Las vulnerabilidades en el software a medida (por ejemplo, XSS en Facebook) normalmente no obtienen un CVE.
CVE en sí no es una base de datos detallada. La base de datos contiene una breve descripción y referencias a otras bases de datos. Para obtener información más detallada, las buenas fuentes son: Security Focus, Secunia, NIST y los avisos del proveedor de software. Si busca explotaciones, Metasploit y Exploit DB son buenos lugares.