前言
前段时间通过漏洞复现成功申请到了一个cve编号,借此机会顺便记录一下申请cve的流程给大家参考,主打的就是一个消除模糊
漏洞编号申请
首先访问CVE的官网地址
https://cveform.mitre.org/
如下图所示:
在Select a request type栏目中选择Report Vulnerability/Request CVE ID选项
意思是你要申请一个cve编号
然后在Enter your e-mail address栏填入你的电子邮件地址,这个邮件地址很重要,后续和cve团队沟通的话都是通过这个邮件地址
这两段提示的翻译如下:
-
重要提示:在填写此表格之前,请在您的电子邮件客户端中添加[email protected]和[email protected]作为安全发件人。
-
重要提示:一旦为您的漏洞分配了CVE ID,它将不会在CVE列表中发布,直到您提交指向有关该漏洞的公开信息的URL。如果没有公共引用,CVE ID在CVE列表中显示为“RESERVED”。请尽快更新CVE,以参考该漏洞的详细信息。有关更多信息,请参阅本FAQ。
第一句话大意就是检查下你电子邮箱,不要把发件人[email protected]和[email protected]设置成垃圾邮件了,不然会收不到邮件
第二句话的意思是如果你没有公开披露cve编号的话,它在互联网上是查不到的,你的cve编号在cve列表中会显示为“RESERVED”,即保留的意思
值得注意的是,厂商们一般不太喜欢直接披露漏洞,最好能优先联系厂商,另外如果公开披露的漏洞受影响厂商为CNA成员,可能会有法律风险。
PGP Key是用于加密通信的,可以选择不填(我就没填)
选择你要申请的编号个数,我这里是一个,勾选漏洞不在 CNA 列表和漏洞没有被申请过 CVE 编号
然后选择你的漏洞类型
然后填写如下信息
-
Vendor of the product(s):供应商名称,亦可填写官网地址
-
Affected product(s)/code base:受影响的产品,受影响的版本信息
后面的内容可以参考翻译来填写
这里有一些注意事项
-
通篇都要用英语填写
-
提交cve前你最好自己先写一篇英文的漏洞参考文章,可以是个人文章也可以是直接 Github 对应的项目提交 issue,我的做法是先用中文写了一篇,然后用Google一句一句的翻译成了英文
我自己文章的链接贴在下面以供大家参考
https://abyssaler.github.io/post/konga%20Unauthorized%20access
然后是填写表格的一些说明
-
Affected component(s):受影响的组件,这里可以填写问题代码、影响的功能等
-
Attack vector(s):攻击向量,主要就是漏洞利用的 Poc
-
Suggested description of the vulnerability for use in the CVE:漏洞描述
-
Discoverer(s)/Credits:漏洞发现者或者组织
-
Reference(s):漏洞的参考链接,可以是自己写的文章,但要全英文
-
Additional information:备注
全部填写完成后输入验证码提交即可
后续
填写完提交后过几分钟就会收到一封邮件反馈
表明cve已经收到了你的请求信息并已经开始处理了
之后慢慢等待即可,大概半个月左右就会收到cve的回信
邮件里会有你提交漏洞的信息和分配的编号
申请公开cve
此时去cve官方查看该cve编号发现确是保留候选人状态
打开链接
https://cveform.mitre.org
来到如下界面
选择Notify CVE about a publication,即通知 CVE 有关发布的信息
填入你的邮箱
这里的Enter a PGP Key (to encrypt)填入你之前cve审核给你邮箱发送的PGP Key(非必填项)
然后参考下图填写:
这里需要注意的是Link to the advisory该处的漏洞证明地址是你漏洞的复现过程,这里需要你填写一个可以访问到的漏洞证明url地址,例如:自己的github、gitee代码仓库地址(确保cve审核人员可以访问到该地址)
然后输入验证码提交即可
过几分钟就会收到一封确认邮件了
然后等个三五天就会收到公开成功的邮件啦
但是我收到的这封和网上别人收到的公开成功的邮件不同,去查了下也不知道是什么意思
不过后来去cve官网发现已经公开成功了就没管了,如果有疑问的话可以写回信给cve团队沟通
后续各个漏洞平台就会陆陆续续收录了
原文始发于微信公众号(不懂安全):漏洞到手?保姆级教程来助你申请CVE编号
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论