Me di cuenta de que hay una lista de plataformas / proveedores para las que se puede solicitar un CVE.
¿Qué sucede si encuentro un CVE para una plataforma propietaria (que está disponible comercialmente), hay una manera de asignarle un CVE?
Los diferentes proveedores requieren diferentes pasos a seguir para obtener un ID de CVE asignado para las vulnerabilidades.
Si marca la página de solicitud de ID de CVE de MITER aquí , puede seguir las instrucciones para solicitar una ID después de localizando la autoridad de numeración CVE correcta.
Si el proveedor no se menciona específicamente en ninguna de las tablas y un CNA relevante no se encuentra en la lista, entonces debe comunicarse directamente con MITRE para solicitar una ID de CVE por completando el formulario aquí .
Creo que lo principal aquí es asegurarse de seguir la Divulgación responsable:
De wikipedia :
La divulgación responsable es un término de seguridad informática que describe un modelo de divulgación de vulnerabilidad. Es como una divulgación completa, con la adición de que todas las partes interesadas acuerdan permitir un período de tiempo para que la vulnerabilidad sea reparada antes de publicar los detalles.
Si solo va y publica los detalles de la vulnerabilidad sin darle al vendedor el tiempo suficiente para poner un parche, en realidad estará haciendo más daño que bien porque permitirá a los atacantes piratear sistemas que de otra forma serían seguros.
Si esta es la primera vez que revela una vulnerabilidad y todo parece un poco abrumador, entonces, como dice Ross Smith, la organización MITRE que ejecuta la base de datos CVE puede actuar como mediadora entre usted y el proveedor.
Lea otras preguntas en las etiquetas web-application cve