🥘 🈷️ 👸 获取CVE ID 🎡 🍣 👹

在发表文章“ Umbraco CMS中的CSRF”之后，我们收到了几条有关获取CVE过程的问题的消息。本文讨论了当供应商拒绝为其产品中发现的漏洞分配CVE索引时的处理方法。

发现漏洞的工作分为三个主要阶段：

供应商通知
确认和更正发现的漏洞
公开披露

在发现产品中的漏洞之后，您需要为供应商提供详细的报告并找到要联系的联系人。如果供应商就产品安全性问题和公共加密密钥有联系，那么您可以立即发送一封包含加密报告的信件。这是研究人员的最佳选择。然而，这并非总是如此。因此，如果没有单独的安全联系人（和加密密钥），则必须通过任何公用地址开始通信。第一封信应告知有关漏洞识别的信息，要求负责安全性的人员联系以及有关如何以受保护的形式发送报告的信息。但是，有时供应商的代表可能会要求发送未加密的报告。
每封信都应标明截止日期，之后将公开披露有关漏洞的信息（自首次联系之日起不超过4个月）。

即使供应商不回复信件（立即或在一段时间后），这也将允许您发布它。

每种情况下的公开披露都可以通过不同的方式进行：这都取决于发现的漏洞的严重性和严重性。但这超出了本文的范围。

该报告包含以下部分：

标题（漏洞名称）
发现漏洞的产品
易受攻击的产品的版本（或多个版本）
CVSS威胁等级（和/或低至严重）
发现日期
漏洞描述
操作示例（概念验证）
纠正建议

供应商通常会进行联系，并在一段时间后报告修复漏洞的最后期限。共同确定的日期和公开披露的日期，可能与之前指定的截止日期有所不同。有时您可以提前发布信息，但是在大多数情况下，供应商会要求更多时间。

此时，您需要获取CVE标识符才能将其添加到发布中。

更详细地考虑该过程。
理论上，标识符应由易受攻击的产品的开发者分配。但这并不总是会发生。在这种情况下，研究人员将能够自行获得CVE。为此，您需要转到该站点并在此处找到以下表格：

在请求类型中，选择“请求CVE ID”并填写所有字段。

MITER具有出色的常见问题解答，可帮助您填写表格。

填写指定的电子邮件地址后，会出现一个包含请求号的自动回复。它可以并且应该用于进一步的交流：

一天之后，可以获得CVE标识符：

胜利！漏洞信息可以与所有相关详细信息一起发布，包括CVE标识符。

提出问题并在评论中和我们的Facebook组中分享您的经验！

获取CVE ID

More articles: