Lỗ hổng zero-day (còn gọi là 0-day) là một lỗ hổng hoặc điểm yếu bảo mật trong hệ thống máy tính mà các nhà phát triển hoặc bất kỳ ai có khả năng khắc phục vẫn chưa phát hiện ra. Cho đến khi lỗ hổng này được vá, các tác nhân đe dọa có thể lợi dụng nó để thực hiện một cuộc khai thác zero-day hoặc tấn công zero-day. Thuật ngữ "zero-day" (không ngày) ban đầu dùng để chỉ số ngày kể từ khi một phần mềm mới được phát hành. Khi đó, "phần mềm zero-day" là phần mềm bị lấy cắp bằng cách đột nhập vào máy tính của nhà phát triển trước khi phần mềm được ra mắt. Về sau, thuật ngữ này được mở rộng để chỉ các lỗ hổng bảo mật cho phép thực hiện hành vi đột nhập đó, cũng như số ngày mà nhà cung cấp phần mềm có để vá lỗ hổng. Khi phát hiện lỗ hổng, nhà cung cấp có thể phát hành bản vá hoặc đưa ra giải pháp tạm thời để giảm thiểu rủi ro – tuy nhiên, người dùng cần áp dụng các biện pháp đó thì hệ thống mới được bảo vệ. Các cuộc tấn công zero-day được xem là mối đe dọa đặc biệt nghiêm trọng.