个人提交开源系统CVE流程

预申请

CVE官方申请链接

1、选择Report Vulnerability/Request CVE ID 并填写你的电子邮件地址, 填完后勾选下方两个注意事项

2、选择申请数量：建议一次申请一个，因为同时填写多个表单可能导致页面卡住，提交失败，影响心态

3、选择厂商产品：可以直接粘贴产品的官方网站链接

4、填写 Optional 部分：

• Affected component(s)
  • 填写系统名称和版本，直接复制之前填写的内容。
• Attack vector(s)
  • 概述漏洞利用方式，比如通过 xxxx系统的xxxx文件API进行SQL注入，可以附上相关文章链接。
• Suggested description of the vulnerability for use in the CVE
  • 填写漏洞描述 xxx系统xxx文件存在xxx漏洞可RCE
    

5、提交表单：
完成后会收到一封包含CVE信息的电子邮件。如果不刷新页面，继续填写新表单，不会收到重复邮件，因为系统默认用一封邮件与你沟通，除非你刷新页面

公开

6、等待回复：大约需要等待10-20天左右，会收到包含漏洞信息和CVE编号的回复邮件。此时查询CVE编号可以看到是保留状态，需要进一步公开

7、申请公开：接着访问 https://cveform.mitre.org/ 申请公开CVE编号Notify CVE about a publication。公开方式可为 github仓库、博客等，填写成功会收到反馈邮件

等待2-3天，期间如果遇到问题，果断去问根据发你的邮件去做回复询问（CVE有时会漏你的需求） 收到漏洞确认邮件 YOU GOT IT!