CVE提交-拒绝服务与远程代码执行

Question

我想问如何处理一个新的远程代码执行漏洞，该漏洞的来源与已经发现的拒绝服务漏洞相同？我可以申请一个新的CVE ID吗？这是因为原始漏洞集中于拒绝服务，并且不包含任何远程代码执行指令。这算不算一个单独的漏洞，即使它们利用相同的参数？或者更广泛地说，我可以申请“相似的”但不同的CVEs吗？

Answer 1

那得看情况。如果是相同的漏洞，则可以用新的评级更新旧的CVE。另一方面，即使具有“同一来源”，也可能是另一种脆弱性。有很多这种情况(实际上，您甚至经常看到非常相似的CVE描述，说明“这是一个与CVE不同的漏洞”)。

我不知道具体的细节，所以我想不出更多。我认为联系供应商和MITRE (或其他相关的CNA)没有坏处，解释您发现的漏洞以及它如何与CVE-1234非常相似。

我认为这两种结果都是可能的:分配一个新的CVE，或者将它作为现有CVE的另一个实例。我认为给它一个新的CVE可能更常见，但是不同的供应商也有不同的立场。