「 网络安全常用术语解读 」通用漏洞披露CVE详解（非常详细）从零基础到精通，收藏这篇就够了！

什么是CVE？CVE是由哪个组织定义和维护的？CVE主要用途是什么？CVE共有多少个条目？CVE与NVD的关系？如何申请CVE？读完本文你将收获所有答案。如还有其他相关疑问，欢迎留言讨论。

1. 简介

CVE全称是Common Vulnerabilities and Exposures，即通用漏洞披露，它是MITRE公司维护和更新的安全漏洞列表，列表中的每个条目都会有一个唯一的CVE编号，即CVE ID，供安全研究员和受攻击的软件供应商使用，以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据（即简要描述和至少一个参考）。当前CVE累计收录了19万+个安全漏洞，具体的漏洞清单可以点击下载，访问密码6277。

举例: 2021年底披露的核弹级Apache Log4j代码执行漏洞对应的CVE ID为CVE-2021-44428。

近5年的CVE ID披露统计信息如下：

年份	2022	2021	2020	2019	2018
Q4	6,231	5,200	4,387	4,822	3,614
Q3	6,448	5,541	4,170	5,150	4,350
Q2	6,365	5,005	5,011	4,091	4,613
Q1	6,015	4,415	4,807	3,245	3,935
总共	25,059	20,161	18,375	17,308	16,512

Note：可以看到漏洞数量逐年上升，个人认为主要原因是开源软件的广泛使用，很多企业及个人开发者为了快速构建软件，直接引入了大量存在安全风险的开源软件。

2. 命名规则

CVE的命名格式为CVE-YYYY-NNNN，其中YYYY是由四位年份数字组成（如2023），NNNN为至少4位的数字。
正则表达式：^CVE-(2\d{3}|1999)-\d{4,}$

Note：
1、最早的CVE ID年份为1999，当年共披露了321个CVE ID。
2、记录创建日期可能反映CVE ID的分配或保留时间，但不一定表明此漏洞是何时在CVE中发现、与受影响的供应商共享、公开披露或更新的。

3. 如何申请CVE ID

要申请CVE ID需要提交一个申请表，并向CVE官方提交漏洞详细信息，包括漏洞描述、时间、位置、影响范围等。可以直接向CVE官方申请CVE ID，但推荐通过CNA来申请CVE ID，因为CNA可以为您提供更多的帮助，例如审核漏洞报告和与CVE官方的沟通支持。

3.1. 通过官网申请

申请网址：https://cveform.mitre.org/

3.2. 通过CNA申请

申请网址：https://www.cve.org/AllResources/ReserveIDsPublishRecords

4. CVE关键属性

4.1. CVE ID查询

登录CVE官网https://www.cve.org/，在以下输入框中输入CVE ID即可查询CVE详情

4.2. 属性列表

属性	描述	举例
CVE ID	CVE编号	CVE-2021-44228
Assigner	分配者	Apache
Published	发布日期	2021-12-10
Updated	更新日期	2022-12-09
Description	漏洞描述	Apache Log4j2 2.0-beta9到2.15.0（不包括安全版本2.12.2、2.12.3和2.3.1）配置、日志消息和参数中使用的JNDI功能不能防止攻击者控制的LDAP和其他JNDI相关端点。
References	参考，一般是漏洞的来源信息或参考信息	CERT-VN:VU#930724
Assigning CNA	CVE 编号机构，表示CVE ID的申请机构	Apache Software Foundation
Date Record Created	记录创建日期，表示CVE ID发布给CVE编号机构（CNA）或CVE记录发布在CVE列表上的时间	20211126

Note:

1. 通过参考链接和信息可以更加深入了解漏洞；
2. 记录创建日期可能反映CVE ID的分配或保留时间，但不一定表明此漏洞是何时在CVE中发现、与受影响的供应商共享、公开披露或更新的。

5. CVE状态

5.1. RESERVED 保留

已经供CVE编号机构（CNA）或安全研究人员使用，但其详细信息尚未公布时，CVE记录会被标记为RESERVED。

5.2. DISPUTED 争议

当一方不同意另一方关于特定问题是漏洞的主张时，CVE记录可能被指定为DISPUTED。在此情况下，CVE官方没有确定哪一方是正确的。

5.3. REJECT 拒绝

列为REJECT的CVE记录是不被接受的记录。CVE记录被标记为REJECT的原因一般会在CVE记录的描述中说明。可能的原因包括：

• 重复的CVE记录
• 被原始请求者撤回
• 被错误分配
• 其他一些管理原因
  

Note：通常情况下，我们应忽略被标记为REJECT的CVE记录。

5.4. PUBLISHED 发布

列为PULISHED状态的CVE记录表明已经正常披露，漏洞基础信息一般比较完整。

6. 常见问题

6.1. CVE为什么没有提供修补信息、技术细节信息？

我们知道在众多漏洞网站、数据库和安全工具数据库中都可以找到这些信息，但CVE提供给我们漏洞信息却很少，因为CVE目标是将这些不同的漏洞库通过CVE ID联系起来，而不是取代它们。

Note：美国国家漏洞数据库（NVD）为CVE列表上的记录提供修复和其他信息。在国内有CNVD和CNNVD两大免费中文漏洞库，其中也包含了所有的CVE漏洞详细信息。

6.2. CVE和NVD是什么关系？

CVE和NVD是两个独立的项目。CVE是MITRE公司1999年推出的，美国国家漏洞库（NVD）是2005年由美国国家标准与技术研究所（NIST）推出。

• CVE：是一份记录列表，每个记录包含一个识别号、一个描述，以及至少一个公开的已知网络安全漏洞参考。CVE 记录被用于世界各地的众多网络安全产品和服务，包括NVD。
• NVD：建立在CVE列表上并与之完全同步的漏洞数据库，以便CVE的任何更新都会出现在NVD中。
• 两者关系：CVE列表向NVD提供信息，NVD随后基于CVE记录中包含的信息，为每个记录提供更加详细的信息，如修复信息、严重性评分和影响评级。NVD同时还提供高级搜索功能，可支持按操作系统、供应商名称、产品名称、产品版本号以及漏洞类型、严重性、漏洞利用范围和影响检索漏洞信息。

Note：虽然CVE和NVD是独立的，但它们都由美国国土安全部（DHS）网络安全和基础设施安全局（CISA）赞助，公众可以免费使用。

黑客&网络安全如何学习**

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和网安大厂360共同研发的的网安视频教程，之前都是内部资源，专业方面绝对可以秒杀国内99%的机构和个人教学！全网独一份，你不可能在网上找到这么专业的教程。

内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识，而且包含了中级的各种渗透技术，并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频，200多G的资源，不用担心学不全。

因篇幅有限，仅展示部分资料，需要见下图即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源
————————————————

本文转自 https://blog.youkuaiyun.com/Python_0011/article/details/149169884?spm=1001.2014.3001.5502，如有侵权，请联系删除。