Abbiamo rilevato una vulnerabilità di sicurezza in un prodotto diffuso di una grande azienda IT (la società è elencata come CNA qui: link ).
Abbiamo informato la società, hanno riconosciuto il problema e rilasceranno una patch per questo.
Abbiamo chiesto specificamente di assegnare un CVE alla vulnerabilità che abbiamo trovato, ma ci hanno risposto fornendo un "identificatore di bug" interno.
È un comportamento "normale"?
Come possiamo ottenere un CVE se non ne assegna uno al bug che abbiamo trovato?
Grazie