记录一次CVE申请过程

最新推荐文章于 2025-07-08 10:25:18 发布
最新推荐文章于 2025-07-08 10:25:18 发布
阅读量2.6k 收藏 31
点赞数 15
CC 4.0 BY-SA版权
分类专栏: 作者 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79985178/article/details/140575440

记录一次CVE申请过程

1. 前言

跟着网上的教程申请了CVE,简单记录一下申请过程

申请过程参考:
4位数CVE编号申请过程 - 哔哩哔哩 (bilibili.com)
如果你挖到一个0day漏洞怎么获得一个CVE编号_哔哩哔哩_bilibili
干货 | 记一次CVE申请之旅

2. 官网申请CVE编号

CVE - Common Vulnerabilities and Exposures (CVE) (mitre.org)申请(记得使用魔法)

选择报告漏洞/申请CVE ID

选择报告漏洞/申请CVE ID

image-20230601102145803

填写上图所示标有红色星号的部分

image-20230601102241729

漏洞类型如上图所示,分别为缓冲区溢出,CSRF,XSS,目录遍历,错误的访问控制,不安全的权限设置,整数溢出,缺少SSL证书验证,SQL注入,XXE,其他或未知

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PkQH8YXI-1685594359187)(https://lzx-markdown.oss-cn-qingdao.aliyuncs.com/markdown/%E6%9C%AA%E6%A0%87%E9%A2%98-1.png)]

可选项中,攻击类型一般选择remote就行

image-20230601103329227

继续填写下面的Impact等处,填写后提交,提交后会自动给你发送一封邮件,记住邮件名称处的id,

image-20230601114549087

可以通过直接回复此电子邮件将对您请求的更改、添加或更新发送给 CVE 团队。请不要更改主题行,这样我们才能有效地跟踪您的请求。

image-20230601115030261

不出意外的话过几天后会收到一封邮件,并且给你个cve编号。但是这时你的cve还是查不到的(如下图所示),查询时会提示是保留状态,这时需要申请公开cve

image-20230601115413517

3. 公开CVE编号

这时回到CVE - Common Vulnerabilities and Exposures (CVE) (mitre.org)网站,选择Notify CVE about a publication(通知CVE关于一个发布)

image-20230601115532473

image-20230601115816450

提交后会发送一份邮件到你的邮箱

image-20230601120310364

正常过几天就能收到CVE被公布的邮件了。但是由于我写的内容不太完善,CVE给我发了封邮件,说里面内容不太详细,希望我更新一下

image-20230601120458560

回复邮件如下:首先感谢对方对我的回复,然后说我已经更新了参考文档,文档链接如下。最后说如果您需要任何进一步的信息或说明,请告诉我。

感谢您对我的 CVE 服务请求的回复。我已更新参考文档以包含受影响的版本,现在可从以下 URL 获得:

image-20230601123559435

第二天我就收到了CVE编号公开的邮件

image-20230601120714336

4. 关于邮件的回复

Regarding your CVE service request, logged on 2023-05-21T时间, we have the following question or update:
Please update reference to include the affected version.
Please do not hesitate to contact the CVE Team by replying to this email if you have any questions, or to provide more details.
Please do not change the subject line, which allows us to effectively track your request.

关于您于 2023-05-21T 时间登录的 CVE 服务请求,我们有以下问题或更新:
请更新参考以包含受影响的版本。
如果您有任何疑问或提供更多详细信息,请随时回复此电子邮件与 CVE 团队联系。
请不要更改主题行,这样我们才能有效地跟踪您的请求。

对方希望我更新受影响的版本,更新后需要回复对方我已经更新完。但是由于本人不会写英文邮件,所以使用了GPT来帮我写(GPT真好用)

我先将CVE发给我的邮件复制给GPT,问他这段话是什么意思。然后跟GPT说我如果想回复对方我已经更新了参考文档,参考文档的地址是https://github.com/****。我应该怎么回复

GPT回复:

是的,我还记得您之前提到过的邮件。

如果您要回复CVE团队,通知他们已经更
作者徽是vip1024c
新参考文档并提供URL地址,可以按照以下内容编写回复:

Subject: RE: CVE Service Request [Reference Number] Dear CVE Team,

Thank you for your response regarding my CVE service request. I have updated the reference document to include the affected version, and it is now available at the following URL:

https://github.com/***

Please let me know if you need any further information or clarification.

Best regards, [Your name]

其中,[Reference Number]是您在原始请求中收到的参考号码。

image-20230601121114935

image-20230601121140658

5. CNA申请CVE

就是去CNA申请。我是去的vuldb申请,可以点击页面下方的zh切换为机翻中文。点击右上角login,注册账号进行登录

Vulnerability Database 🛡 (vuldb.com)

image-20230601121502373

登录后在下图所示位置提交漏洞

image-20230601121733289

image-20230601122016824

记得勾选Submit上面的申请cve id

提交后会收到一封邮件

image-20230601122236141

不出意外的话就能收到cve确认的邮件

image-20230601123712445

6. Github页面编写

我使用的是markdown进行编写,源码如下

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

记录一次CVE申请过程网络安全面试真题精选
fdsgdsgdfw的博客
04-16 531
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!对方希望我更新受影响的版本,更新后需要回复对方我已经更新完。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
CVE-Flow:1999-2020年CVE数据分析
lp_cq242的博客
05-27 2198
给大家汇报一下最近工作,主要做了这么几个事情: 1999-2020年CVE数据分析。 增量CVE数据的T级监控。 EXP预警。 全局自动化。 产出及价值 汇总产出一份近20年来CVE原始数据集:CVE2020,且持续自动更新,具备66个属性。借助数据集,可以分析各个属性数据的外在表现,推测其内在规律,辅助安全工作。 经过交叉打标,产出带有EXP标记的CVE标记数据集:EXP2020,且持续自动更新。借助已有标记数据集,通过机器学习和深度学习算法训练,可以预测CVE被利用的可能性,有的放矢,提高预
iwantacve:套哥代你申请CVE啦!~~~
05-15
iwantacve 套哥代你申请CVE啦!~~~ 其实申请CVE并没有那么复杂,套哥总结和实践了几种方法。具体可参看 1、《CVE申请的那些事》 2、《CVE申请的那些事-后记》 还可以关注套哥的微信公众号 “安全圈套” ,历史文章中有一篇 《你信么?中文也能申请CVE 》 ,可以帮助英文不好的小伙伴申请CVE编号哦。 套哥会把自己申请的和带小伙伴申请cve一并统计在这里: CVE-2018-11671:GreenCMS v2.3.0603存在CSRF漏洞可增加管理员账户 CVE-2018-11670:GreenCMS v2.3.0603存在CSRF漏洞可获取webshell CVE-2018-11559:DomainMod 4.10.0存在存储型XSS漏洞 CVE-2018-11558:DomainMod 4.10.0存在XSS漏洞 CVE-2018-11404:DomainMod
CVE提交流程(包含漏洞公开过程
weixin_41308444的博客
01-30 1万+
CVE提交流程(包含漏洞公开过程
网络安全常用术语解读 」通用漏洞披露CVE详解(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
logic1001的博客
07-08 951
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。当前CVE累计收录了19万+个安全漏洞,具体的漏洞清单可以点击下载,访问密码6277。举例。
CVE申请过程
weixin_50464560的博客
07-05 4519
CVE申请的那些事在上一篇分享《安全小白面试的那些坑》中和大家提到面试的时候可以在简历中附上提交过的原创漏洞如CVE、CNVD编号等信息,以证明自己在漏洞挖掘方面的技术经验和能力。本文将和大家分享申请CVE的方法和技巧。什么是CVE对于新手来说申请CVE总是摸不清门道,总觉得像这种国际化的高大上漏洞很难申请到,其实则不然,CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典,大家可以通过编号在这
CVE申请
dtf_csy的博客
12-14 1339
一、如何去申请CVE编号? 大体上分为以下两种: 第一种:找Participating CNA要CVE编号 Participating CNA的意思就是参与CNA,可以理解为参与CVE计划的公司或项目发起者,总之就是有产品拿出来让大家挖漏洞的,这些CNA有一个列表CNA列表,按照列表中给的联系方式和CNA厂商直接联系获取CVE 邮件CNA中企业 -> 企业确认和修复 -> 企业申请CVE和发布漏洞补丁 第二种:找Primary CNA要CVE编号(公开披露) 找主CNA要编号,也就是MIT
CVE-2021-3156 漏洞复现笔记
热门推荐
weixin_46483787的博客
07-01 1万+
CVE-2021-3156复现笔记
OPENSSL拒绝服务漏洞【CVE-2022-0778】
Armandhe的博客
03-18 2505
OPENSSL拒绝服务漏洞【CVE-2022-0778】
gomarkdown漏洞CVE-2024-44337--手把手教你go-fuzz模糊测试引擎如何进行漏洞挖掘
一个啥也不会的小菜鸡!
11-06 1027
环境:Ubuntu20#添加环境变量#内容# GOROOT:go的安装路径# GOPATH:go的开发路径(自定义就好)# GOBIN:go工具程序存放路径#创建工作目录#解决网络代理问题go语言模糊测试(一):go-fuzz - FreeBuf网络安全行业门户#创建要魔改的go-fuzz#下载源码,后可以魔改#进入go-fuzz目录进行初始化#进入源码目录配置go.mod#安装go-fuzz所需依赖最后编译运行验证是否魔改成功!#安装go-fuzz的编译工具。
[HACK学习呀] - 2020-11-05 记一次代码审计到申请CVE过程1
08-03
(1)有每种漏洞的利用套路 (2)有人家复现的整体流程 (3)有针对每种漏洞的研究性文章
干货:个人申请CVE的姿势总结.docx
07-06
干货:个人申请CVE的姿势总结.docx干货:个人申请CVE的姿势总结.docx干货:个人申请CVE的姿势总结.docx干货:个人申请CVE的姿势总结.docx干货:个人申请CVE的姿势总结.docx干货:个人申请CVE的姿势总结.docx干货:个人申请CVE的姿势总结.docx干货:个人申请CVE的姿势总结.docx
cvelist:通过GitHub提交CVE的试验程序
02-10
CVE自动化工作组Git试点 正在尝试使用git共享有关公共漏洞的信息。 目的不仅是要了解支持发送和接收数据的“管道连接”所需的功能,而且还要了解CVE格式需要哪些属性和元数据来支持自动化。 有关参与此试验的详细信息,请参见。 该存储库保存使用的包含的信息。 在此存储库中使用CVE信息应遵守。 存储库概述 有关每个CVE ID的信息将作为唯一文件存储在子目录中的仓库中,该文件基于年份以及ID的数字部分(截断为1,000)。 因此, 适用于CVE-2017-3000-CVE-2017-3999,而适用于CVE-2017-1002000-CVE-2017-1002999。 如果有更改,CVE团队将使用CVE列表中的信息每小时自动更新这些文件。 同步作业将在小时开始时启动,并应在5分钟内完成。 对于已填充的ID,文件包含在中显示的描述和参考。 它们还可能包含有关受影响产品和问题类型的信
CVE申请的那些事
Fly_鹏程万里
07-19 4469
什么是CVE 对于新手来说申请CVE总是摸不清门道,总觉得像这种国际化的高大上漏洞很难申请到,其实则不然,CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典,大家可以通过编号在这里查找不同应用或系统的漏洞信息。当然很多安全企业或国家机构也都会引用CVE作为其漏洞库,比如美国国家漏洞...
CVE 官网提交流程
qq_44172732的博客
07-08 1966
CVE申请流程
CVE申请系列(1)——CVE简介
Kni9hT's Blog
01-14 2199
参考:CVE申请的那些事 1.什么是CVE CVE的全称是“Common Vulnerabilities and Exposures”,翻译成中文就是“公共漏洞和披露”。它相当于一个搜集了很多安全漏洞的漏洞库,不同的漏洞信息对应着一个不同的CVE编号,所谓申请CVE也就是申请一个CVE编号。 2.CVE授权机构CNA CNA的全称是“CVE Numbering Authority”,中文可以理解为...
申请CVE的姿势总结
weixin_50464560的博客
07-09 1810
什么是CVECVE的全称叫做“Common Vulnerabilities & Exposures”中文含义是公共漏洞和暴露。它作为披露漏洞的平台,受到国内外关注。CVE会提供编号作为漏洞对应的字符串式特征,有很多企业倾向于用多少高质量的CVE来证明实力,一些工具和产品也会使用CVE作为漏洞的官方标识。一些企业关注漏洞使用CVE作为修补漏洞的索引依据。 如何去提交CVE? 目前经过总结提炼出来多种申请CVE的方法,每种方法都有利弊,请自行选择。大体上分为两种,公开披露和...
CVE申请系列(2)——CVE申请流程
Kni9hT's Blog
01-28 3099
接上次写的(春节浪了大半个月没干活了…)这次来学习一下CVE申请流程。 上次讲到CVE编号授予机构CNA,我们要申请CVE编号,肯定是要向CNA申请申请CVE大致分为三种情况: 一、(Participating CNA)CNA是参与CVE计划的公司或者项目发起者 二、(Primary CNA)CNA是MITRE官方 三、(Distributed Weakness Filing Project...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值