Ho due domande relative alla procedura per richiedere e ottenere un ID CVE per una vulnerabilità.
-
Devo contattare prima il fornitore e aspettare di vedere se riconosce la vulnerabilità e rilasciare una patch e poi inviare un ID CVE o devo semplicemente presentare un ID CVE adesso?
Si dice quanto segue:
IMPORTANT: Once a CVE ID is assigned to your vulnerability, it will not be published in the CVE List until you have submitted a URL pointing to public information about the vulnerability. Without a public reference, the CVE ID will display as "RESERVED" in the CVE List.
La mia domanda riguarda "un URL che punta alle informazioni pubbliche". Queste informazioni pubbliche devono provenire dal venditore o queste informazioni pubbliche possono essere qualcosa di simile a un punto URL per una pagina di db exploit?