Un identificador de CVE en uso no es necesariamente público en un momento dado. Se publica cuando o después de la publicación de la vulnerabilidad.
¿Esto significa que el "año" incluido en el ID de CVE puede ser frecuentemente mayor que el año del primer informe público de la vulnerabilidad (y, por lo tanto, cuando el ID de CVE esté disponible para la búsqueda de CVE en MITRE)? ¿O existe un mecanismo para correlacionar el año con el año de divulgación pública dentro de algunos límites relacionados con la divulgación pública?
NO me estoy refiriendo a ejemplos como CVE-2010-5298
que se asignó o tal vez acaba de publicarse en 2014, porque la vulnerabilidad en sí misma fue, en cierto sentido, pública desde 2010, solo que no tiene un ID de CVE.
Me refiero a un gran error hipotético actualmente desconocido que llenará los titulares a lo largo de 2017, pero que se etiquetará como CVE-2010-something
debido a un proveedor que se ha mantenido en secreto durante siete años.