Ho notato che esiste un elenco di piattaforme / fornitori per cui è possibile richiedere un CVE.
Cosa succede se trovo un CVE per una piattaforma proprietaria (che è disponibile in commercio), c'è un modo per ottenere un CVE assegnato per questo?
Diversi fornitori richiedono passaggi diversi per ottenere un ID CVE assegnato per le vulnerabilità.
Se selezioni la pagina di richiesta ID CVE MITER qui , puoi seguire le istruzioni per richiedere un ID dopo localizzazione della corretta autorità di numerazione CVE.
Se il venditore non è menzionato in modo specifico in nessuna delle tabelle e un CNA rilevante non è elencato, devi contattare direttamente MITER per richiedere un ID CVE di compilando il modulo qui .
Penso che la cosa principale qui è assicurarsi di seguire la divulgazione responsabile:
Da wikipedia :
Responsible disclosure is a computer security term describing a vulnerability disclosure model. It is like full disclosure, with the addition that all stakeholders agree to allow a period of time for the vulnerability to be patched before publishing the details.
Se vai e pubblichi i dettagli della vulnerabilità senza dare al venditore il tempo sufficiente per distribuire una patch, farai effettivamente più danni che benefici perché consentirai agli hacker di hackerare sistemi altrimenti sicuri.
Se questa è la prima volta che sveli un messaggio e tutto sembra un po 'opprimente, come dice Ross Smith, l'organizzazione MITER che gestisce il database CVE può fungere da mediatore tra te e il venditore.
Leggi altre domande sui tag web-application cve