Get best of the week

Obtener ID de CVE

Después de la publicación de nuestro artículo "CSRF en Umbraco CMS", recibimos varios mensajes con preguntas sobre el proceso de obtención de CVE. Este artículo analiza qué hacer cuando un proveedor se niega a asignar un índice CVE a una vulnerabilidad encontrada en su producto.

El trabajo con vulnerabilidades descubiertas se lleva a cabo en tres etapas principales:

  1. Notificación de vendedor
  2. Confirmación y corrección de una vulnerabilidad encontrada
  3. Revelación pública

Después de encontrar una vulnerabilidad en el producto, debe realizar un informe detallado para el proveedor y buscar contactos para el contacto. Si el proveedor tiene contactos sobre problemas de seguridad del producto y claves de cifrado públicas, puede enviar inmediatamente una carta que contendrá un informe cifrado. Esta es la mejor opción para el investigador. Sin embargo, este no es siempre el caso. Por lo tanto, si no hay contactos de seguridad separados (y claves de cifrado), debe iniciar la correspondencia a través de las direcciones comunes. La primera carta debe informar sobre la identificación de vulnerabilidades, solicitar los contactos de los responsables de seguridad e información sobre cómo enviar el informe de forma protegida. Sin embargo, a veces los representantes del proveedor pueden solicitar enviar un informe sin ningún cifrado.
Cada carta debe indicar la fecha límite, después de la cual habrá una divulgación pública de información sobre la vulnerabilidad (no más de 4 meses a partir de la fecha del primer contacto).

Esto le permitirá publicarlo incluso si el proveedor no responde a las cartas (inmediatamente o después de un tiempo).

La divulgación pública en cada caso se puede hacer de diferentes maneras: todo depende de la criticidad y la magnitud de la vulnerabilidad encontrada. Pero esto está más allá del alcance de este artículo.

El informe contiene las siguientes secciones:

  • Título (nombre de la vulnerabilidad)
  • El producto en el que se descubrió la vulnerabilidad.
  • Versión (o versiones) de productos vulnerables
  • Clasificación de amenaza CVSS (y / o solo baja a crítica)
  • Fecha de descubrimiento
  • Descripción de la vulnerabilidad
  • Ejemplo de operación (prueba de concepto)
  • Recomendaciones para corrección

Muy a menudo, el proveedor se pone en contacto y, después de un tiempo, informa sobre los plazos para corregir la vulnerabilidad. Determinado conjuntamente y la fecha de divulgación pública, que puede diferir de la fecha límite indicada anteriormente. A veces puede publicar información antes, pero en la mayoría de los casos, el proveedor solicita más tiempo.

Es en este punto que necesita obtener el identificador CVE para agregarlo a la publicación.

Considere el proceso con más detalle.
El identificador en teoría debe ser asignado por el desarrollador del producto vulnerable. Pero esto no siempre sucede. En tales casos, el investigador podrá obtener CVE por su cuenta. Para hacer esto, debe ir al sitio y encontrar el siguiente formulario allí:



En el tipo de solicitud, seleccione "Solicitar una ID de CVE" y complete todos los campos.

MITRE tiene excelentes preguntas frecuentes que ayudarán a completar el formulario.

Después de completar la dirección de correo electrónico especificada, aparece una respuesta automática que contiene el número de solicitud. Se puede y se debe usar en futuras comunicaciones:



después de un día, se puede obtener el identificador CVE:



¡Victoria! La información de vulnerabilidad se puede publicar con todos los detalles relevantes, incluido un identificador CVE.

¡Haga preguntas y comparta sus experiencias en los comentarios y en nuestro grupo de Facebook !

More articles:


All Articles