CVE申请流程与方法详解

什么是CVE？

CVE全称为"Common Vulnerabilities & Exposures"（公共漏洞和暴露），是一个国际公认的漏洞披露平台。其主要特点包括：

• 为每个漏洞分配唯一的字符串标识符（如CVE-2020-1234）
• 被广泛用作漏洞的官方标识
• 许多企业使用CVE数量和质量来证明安全实力
• 被用作修补漏洞的索引依据

CVE申请方法概述

申请CVE主要有两种途径：

1. 公开披露漏洞 → 提交CVE申请 → 等待邮件反馈结果
2. 向CNA成员厂商报告 → 厂商确认修复 → 厂商申请CVE并发布补丁

详细申请流程

方法一：直接通过CVE官网申请

1. 访问CVE官方网站
2. 点击"Request CVE IDs"（申请CVE ID）
3. 选择"MITRE CVE Request web form"（通过web表单提交）
4. 填写表单（建议英文填写，可使用翻译工具辅助）
5. 提交后等待CVE回复邮件
6. 邮件中将包含分配的CVE编号

方法二：通过CNA成员厂商申请

1. 确定受影响厂商是否为CNA成员
2. 编写英文漏洞报告
3. 发送报告至厂商安全邮箱（如Apple为product-security@apple.com）
4. 保持与厂商的沟通
5. 厂商确认后会申请CVE并发布补丁

公开披露漏洞的渠道

1. Exploit Database提交

优点：专业漏洞平台，收录率高
流程：

1. 按格式编写报告（必须使用英文）：

   Exploit Title: [标题]
   Google Dork: [如适用]
   Date: [发现日期]
   Exploit Author: [发现者]
   Vendor Homepage: [供应商主页链接]
   Software Link: [受影响应用下载链接]
   Version: [受影响版本]（必填）
   Tested on: [测试环境]
   CVE: [如已有]
   POC: [漏洞证明]
   

2. 发送邮件至submit@offsec.com

3. 等待1-3个工作日的验证

4. 在Exploit Database主页披露后，按公开披露流程申请CVE

2. GitHub个人项目

优点：可长期保存，便于管理
模板：

漏洞标题: 
影响版本: 
发现时间: 
发现人: 
分析报告: 
修补方案:

注意：

• 建议使用英文编写
• 项目公开后按公开披露流程申请CVE

3. 个人博客

特点：

• 灵活性高，可随时修改
• 但存在链接失效风险
• 申请通过后可删除内容

建议：

• 使用标准模板描述漏洞
• 不推荐作为长期披露平台

4. HackerOne平台

流程：

1. 选择受影响厂商
2. 提交英文报告
3. 与平台人员沟通
4. 可请求分配CVE编号
5. 重要漏洞通常由平台协助申请CVE

5. GitHub Issue

不推荐原因：

• 可能被恶意利用
• 对项目使用者有风险
• 可能导致项目归档问题

6. CNVD（中国国家信息安全漏洞共享平台）

方法：

1. 在CNVD提交漏洞
2. 审核通过后获取漏洞公告链接
3. 使用该链接按公开披露流程申请CVE

注意事项

1. 语言要求：除CNVD外，所有国际平台均需使用英文
2. 厂商偏好：大多数厂商不喜欢直接公开披露，建议优先联系
3. 法律风险：公开披露CNA成员厂商的漏洞可能有法律风险
4. CVE中文申请站：目前已关闭，未来可能重新开放

总结

选择申请方法时应考虑：

• 漏洞的敏感程度
• 受影响厂商是否为CNA成员
• 自身英语能力
• 是否需要长期保存记录

最推荐的方式是通过Exploit Database或GitHub项目公开披露后申请CVE，或直接联系厂商通过CNA渠道申请。