我们通过该漏洞平台搜索相关CMS已爆出的已知漏洞,然后再次挖掘该CMS(一个CMS肯定不止一个漏洞)

相关查重问题在CVE官方平台,链接:https://cve.mitre.org/cve/search_cve_list.html

这样子就可以知道你挖的CMS有没有被提交过,并且已经公开了

其中这个地方是你开源项目的下载地址,后续提交平台要的信息

这里通过exploit-db平台找到个WBCE CMS,挖到新的文件上传漏洞

报告要英语版的,先写好中文再译会英语即可

我是在gitee.com平台编写的报告

链接:https://gitee.com/CTF-hacker/pwn/issues/I7LH2N

(也就是issues地址)

我的编写方式是漏洞标题+漏洞URL路径+POC+复现效果截图+

代码审计的漏洞成因截图,也就是黑盒+白盒的方式写CVE报告

(不会代码审计的也可以直接交黑盒,URL+POC+复现效果)

最后就是提交到平台,链接:https://cveform.mitre.org/

项目地址也就是漏洞产品的下载链接,以及CMS的名称和版本是多少

这里的CSRF只是作为示列,要根据实际漏洞类型和攻击类型

填好后，填写验证码提交即可。提交后一般马上会收到官方的确认邮件。大概意思就是感谢你提交漏洞，将有CVE团队成员进行审核，如要更改、添加信息可以直接回复邮件，不要更改邮件标题等等

大概一个月左右获得CVE编号的邮件

然后再去CVE选择公开漏洞信息，提交后一般一天左右漏洞信息就会被公开