Encontramos una vulnerabilidad de seguridad en un producto generalizado de una gran empresa de TI (la compañía aparece como una CNA aquí: enlace ).
Notificamos a la compañía, reconocieron el problema y van a lanzar un parche para ello.
Pedimos específicamente que se asignara un CVE a la vulnerabilidad que encontramos, pero respondieron dándonos un "identificador de error" interno.
¿Es este un comportamiento "normal"?
¿Cómo podemos obtener un CVE si no asignan uno al error que encontramos?
Gracias