Уязвимость (англ. vulnerability - уязвимый, ранимый) - термин, применяемый для обозначения недостатков и ошибок в системах различного вида, используя которые атакующий может вызвать недокументированную (непредусмотренную разработчиком) работу системы. Уязвимости делятся на теоретические и реализованные. Теоретическая уязвимость - уязвимость, с помощью которой небыло реализовано ни одной атаки на систему. Как правило, теоретическая уязвимость существует, пока о ней не узнают атакующий или администратор системы. Первый, найдя ее, осуществит атаку, тем самым переведя уязвимость в разряд реализованных, второй предпримет действия к ее устранению.

Уязвимость может являться как следствием ошибок программирования, так и неточностей допущенных на этапе проектирования системы. Как правило, уязвимость позволяет атакующему заставить совершать систему такие действия, на которые у него нет прав. Достигается это путем внедрения в систему стороннего кода или данных неверного формата. Наиболее распространенными и чаще определяемыми являются уязвимости, связанные с недостаточной фильтрацией входных данных. Ряд других уязвимостей проявляется из-за более сложных причин - логических проблем кода или ошибок на стадии проектирования системы.

Основываясь на теоретических и практических исследованиях специалисты по информационной безопасности утверждают, что абсолютно любая система является уязвимой. Отличия в защите систем заключаются лишь в том, насколько сложно найти уязвимости, то есть, сколько ресурсов (человеческих, временных, финансовых) понадобится на их поиск.