A qualsiasi vulnerabilità può essere assegnato un numero CVE?
Per vulnerabilità come questa:
link
Può essere assegnato un numero CVE? (sembra che non abbia un ID CVE ora)
Che ne è di una vulnerabilità nei siti web (come Google.com) piuttosto che in una libreria?
I CVE sono per vulnerabilità nel software che viene spedito e poi consumato, non per vulnerabilità nei servizi (ad esempio siti Web). Quindi, se una vulnerabilità nel servizio (ad esempio un sito Web) si trova in qualcosa che è ampiamente disponibile come pacchetto software (ad esempio un difetto che è alla radice in Apache, o in PHP o WordPress per esempio), allora il difetto all'interno di quel pacchetto software sarebbe ottenere un CVE.
Se la falla si trova in un servizio che è un software scritto personalizzato che non è disponibile per il download (ad esempio Amazon, eBay, ecc.), allora tale vulnerabilità non otterrebbe un CVE.
In definitiva, l'obiettivo di CVE è fornire un identificatore per una vulnerabilità in modo che quando più organizzazioni (ad esempio il reporter e l'upstream e la comunità che lo utilizza) debbano discutere della vulnerabilità, possono essere tutte certe che stanno effettivamente parlando la stessa cosa.
Leggi altre domande sui tag cve