El Common Vulnerability Reporting Framework (CVRF) es un estándar abierto utilizado para la publicación y el intercambio de información sobre vulnerabilidades de seguridad. Fue desarrollado originalmente por el Forum of Incident Response and Security Teams (FIRST) en colaboración con organizaciones de la industria de la seguridad y se ha convertido en una norma ampliamente aceptada para la comunicación de información sobre vulnerabilidades.

CVRF permite a las organizaciones de seguridad publicar informes de vulnerabilidades en un formato estandarizado, lo que facilita la lectura y el procesamiento automático de la información. También permite a los proveedores de seguridad recibir información de vulnerabilidades de varias fuentes y procesarla de manera automatizada.

Sin embargo, el estándar CVRF ha evolucionado a lo largo del tiempo para adaptarse a las necesidades cambiantes de la industria de la seguridad. En 2019, la industria de las TIC adoptó el Common Vulnerability Scoring System (CVSS) 3.1 como el estándar para la puntuación de vulnerabilidades. La adopción de CVSS 3.1 también llevó al desarrollo de un nuevo estándar, el Common Vulnerability Scoring Framework (CVSSF) para mejorar la comunicación de informes de vulnerabilidades.

El CVSSF es una evolución del CVRF que se basa en el CVSS 3.1. El CVSSF ofrece una estructura clara para la comunicación de informes de vulnerabilidades, incluyendo información detallada sobre la puntuación de vulnerabilidad, los detalles de la vulnerabilidad, los productos afectados y las soluciones recomendadas. Además, el CVSSF también permite la automatización de los procesos de gestión de vulnerabilidades, lo que facilita la toma de decisiones y la implementación de medidas de mitigación.

Actualmente el CVRF ha pasado a denominarse CSAF (Common Security Advisory Framework).