CVE漏洞

Question

是否可以为任何漏洞分配CVE编号？

对于像这样的漏洞：

http://seclists.org/fulldisclosure/2016/Apr/92

能给它分配一个CVE号码吗？(现在似乎没有CVE id了)

网站中的漏洞(比如Google.com)，而不是库中的漏洞呢？

Answer 1

CVEs针对的是软件中的漏洞，而不是服务中的漏洞(如网站)。因此，如果服务中的漏洞(例如网站)是作为软件包广泛可用的漏洞(例如，Apache中的缺陷，或者PHP或WordPress中的缺陷)，那么该软件包中的漏洞就会得到CVE。

如果该漏洞存在于无法下载的自定义编写的软件中(如亚马逊、eBay等)，则该漏洞是该服务的缺陷。那么这个漏洞就不会得到CVE了。

CVE的最终目标是为漏洞提供一个标识符，以便当多个组织(例如，记者和上游组织以及使用该漏洞的社区)需要讨论漏洞时，他们都可以确定自己实际上在谈论同一件事。