Een zero-day kwetsbaarheid is een beveiligingslek in software waarvoor nog geen patch of officiële oplossing beschikbaar is. Het lek is vaak al bekend bij aanvallers, terwijl ontwikkelaars nog geen tijd hebben gehad om het probleem te verhelpen, vandaar de naam: er zijn nog nul dagen geweest om het te repareren.
Dit soort kwetsbaarheden ontstaat meestal door programmeerfouten of onverwachte interacties tussen onderdelen van een systeem. Zodra een kwetsbaarheid ontdekt wordt, kan er een exploit verschijnen waarmee het lek daadwerkelijk wordt misbruikt, bijvoorbeeld om toegang te krijgen tot een server of om kwaadaardige code uit te voeren.
Het risico van een zero-day ligt vooral in de asymmetrie: aanvallers kunnen al handelen terwijl verdediging nog moet beginnen. Organisaties zijn dan aangewezen op tijdelijke maatregelen zoals monitoring, isolatie van systemen of het uitschakelen van kwetsbare functies.
Een zero-day kwetsbaarheid laat zien dat beveiliging geen eindtoestand is maar een voortdurend proces, nieuwe lekken kunnen op elk moment opduiken, ook in software die jarenlang stabiel leek.