Los identificadores CVE (a.k.a. CVE ID) se utilizan para identificar de forma única una vulnerabilidad particular. Todos los hemos visto en varios boletines, y son útiles para investigar un problema. Pero, ¿cómo se asignan? ¿Qué proceso implica obtener un ID de CVE para un error y cómo encaja el proveedor en ese proceso? ¿Alguien puede solicitar una identificación de CVE por un capricho, o se requiere alguna evidencia o detalle?
Hay varias formas de obtener un CVE.
Uno podría ponerse en contacto con una de las Autoridades de numeración de CVE (CNA), un equipo de respuesta de emergencia (piense en CERT) o el proyecto de CVE. Si el proveedor de un producto aparece como un CNA, debe contactar al proveedor para obtener un CVE.
Se debe proporcionar información suficiente para permitir que el asignador de CVE tome una decisión (proporcionar el CVE, fusionarse con otros CVE, etc.).
Para obtener más información, consulte enlace y enlace
Algunos proveedores, como Drupal, solicitarán identificadores de CVE de forma masiva a través de openwall para los anuncios de seguridad publicados que aún no tienen un CVE solicitado por el investigador.
Solo una actualización, este proceso está cambiando, además de CVEs "basadas en evidencia" habrá CVEs "basadas en solicitud" (para ser honesto, ya es una práctica que he hecho para más de algunos de los 5000 CVE que tengo emitido, ciertas personas en las que confío para que realicen las solicitudes correctamente y no necesito mucha evidencia porque tienen un historial de hacer sus solicitudes de CVE correctamente).
Lea otras preguntas en las etiquetas known-vulnerabilities cve