Lỗ hổng bảo mật trong công nghệ thông tin (CNTT) là một lỗ hổng trong mã hoặc thiết kế tạo ra một điểm tiềm ẩn xâm phạm bảo mật cho một điểm cuối hoặc mạng. Các lỗ hổng tạo ra các vectơ tấn công có thể xảy ra , qua đó kẻ xâm nhập có thể chạy mã hoặc truy cập bộ nhớ của hệ thống mục tiêu. Các phương tiện mà các lỗ hổng được khai thác rất đa dạng và bao gồm chèn mã và ghi đè bộ đệm; chúng có thể được tiến hành thông qua các tập lệnh hack, ứng dụng và mã hóa tay miễn phí. Một zero-day khai thác , ví dụ, diễn ra ngay sau khi một lỗ hổng trở nên thường được biết đến. 

Câu hỏi về thời điểm công bố công khai lỗ hổng bảo mật vẫn còn là một vấn đề gây tranh cãi. Một số chuyên gia bảo mật tranh luận về việc tiết lộ đầy đủ và ngay lập tức, bao gồm cả thông tin cụ thể có thể được sử dụng để khai thác lỗ hổng bảo mật. Những người ủng hộ việc tiết lộ ngay lập tức cho rằng nó dẫn đến việc vá nhiều lỗ hổng bảo mật hơn và phần mềm an toàn hơn. Những người chống lại việc tiết lộ lỗ hổng bảo mật cho rằng thông tin về lỗ hổng bảo mật không nên được công bố vì kẻ xâm nhập có thể sử dụng thông tin này. Để giảm thiểu rủi ro, nhiều chuyên gia tin rằng thông tin hạn chế nên được cung cấp cho một nhóm được chọn sau một khoảng thời gian nhất định đã trôi qua kể từ khi phát hiện.

Cả mũ đen và mũ trắng thường xuyên tìm kiếm các lỗ hổng và khai thác thử nghiệm. Một số công ty cung cấp tiền thưởng lỗi để khuyến khích tin tặc mũ trắng tìm kiếm các lỗ hổng. Thông thường, số tiền thanh toán tương xứng với quy mô của tổ chức, độ khó trong việc hack hệ thống và mức độ ảnh hưởng đến người dùng mà một lỗi có thể gây ra.