一个漏洞应该有多普遍才有资格获得CVE？

Question

哪些漏洞很常见，足以成为CVE？它是否只与“申请”S有关，或者网站也被接受?一个不受欢迎的网站(或本地服务)中的漏洞是否足够普遍？

Answer 1

来自CVE常见问题：

信息安全漏洞是软件中的一个错误，黑客可以直接使用该漏洞来访问系统或网络。有关CVE网站上如何使用该术语的完整说明，请参见术语页。

CVE的意图是对所有已知的漏洞和风险进行全面的处理。虽然CVE旨在包含成熟的信息，但我们的主要重点是识别安全工具检测到的漏洞和暴露，以及任何公开的新问题。

如果个人网站被破坏，网站所有者不太可能公开宣布。如果他们把细节公诸于众，而且只影响到他们自己的专有软件，那对公众来说就没有什么价值了。如果该漏洞存在于某个供应商使用和生产的软件中(打开或关闭)，那么它很可能是一个CVE。

如果网站被攻破，这可能不是CVE类型攻击的结果，但可能是更通用的常见弱点枚举)。例如，如果一个站点被SQL注入或XSS破坏，那么特定的字符串不太可能是CVE，而是可以在CWE下分类。

如果您正在寻找特定网站攻击的详细信息，您可能希望查找漏洞报告，如隐私权的信息交换中心的数据泄露清单。

测试这一点的最好方法是尝试提交您的发现，并查看CVE社区在他们的评审过程中希望使用它做什么。

Answer 2

我的理解是，影响个人网站的问题(比如facebook上的XSS )没有资格申请CVE，尽管web应用程序是如此。所以，一个只影响Facebook的问题不是，但是在像WordPress这样的网络应用程序中，一个问题就会发生。

这个应用程序不一定很受欢迎--我曾经为一个用户不足1,000个的应用程序请求一个CVE。

您可以直接从米特雷或(对于开放源码软件)通过开放源码软件-安全邮件列表请求CVE --如果有问题，或者问题不合格，他们会通知您的。

还有其他小组，如OSVDB，跟踪范围更广的问题；尽管我认为他们也不跟踪特定网站上的问题。

Answer 3

CVEs针对的是软件中的漏洞，而不是服务中的漏洞(如网站)。因此，如果服务中的漏洞(例如网站)是作为软件包广泛可用的漏洞(例如，Apache中的缺陷，或者PHP或WordPress中的缺陷)，那么该软件包中的漏洞就会得到CVE。

如果该漏洞存在于无法下载的自定义编写的软件中(如亚马逊、eBay等)，则该漏洞是该服务的缺陷。那么这个漏洞就不会得到CVE了。

CVE的最终目标是为漏洞提供一个标识符，以便当多个组织(例如，记者和上游组织以及使用该漏洞的社区)需要讨论漏洞时，他们都可以确定自己实际上在谈论同一件事。