0x00 前言

之前一直都是通过代码审计在搞CNVD证书，一直都没试过申请过CVE编号。由于CNVD提交的漏洞可以在提交到CVE去申请编号，所以准备去申请下CVE编号试试看，顺便去熟悉一下CVE编号申请的流程，借此机会将我获取编号的流程分享给大家。

0x01 cve编号获取流程

首先登录CVE官方网站https://cveform.mitre.org/，选择如下选项Report Vulnerability/Request CVE ID（报告漏洞/请求CVE ID）

这里根据自己提交的漏洞类型选择相应的选项以及漏洞信息进行填充就可以了，建议申请前可以去搜索下系统名看看自己的漏洞是否已经重复，避免重复提交耽误时间。

下面的选项是可选的：

Attack type（攻击类型）

Impact（影响）：根据漏洞造成的影响进行选择

Affected component(s)（受影响的组件）:填写上面的系统名称以及版本就可以

Attack vector(s)（攻击向量）：就是简要描述你的漏洞利用过程

Suggested description of the vulnerability for use in the CVE（建议在 CVE 中使用的漏洞描述）：最后漏洞公开后再CVE官网展示的漏洞描述信息。

Discoverer(s)/Credits（发现者）：填写你的一个名字就可以

Reference(s)：（参考）：这里填不填都可以

填写完提交后等几分钟就会收到一封邮件反馈，证明CVE收到了你的请求信息已经开始处理了。这只是CVE的初步审核开始了。

我这里大概等了一个多月的时间才收到cve的邮件(这里时间长短可能由于某些原因会有所不同)这证明你通过了第一次审核，邮件里有你所提交的漏洞信息，最下面会给你分配一个CVE编号。

这里与CNVD漏洞申请稍微有些区别，我们虽然可以从官网搜到我们的编号，但是申请下的CVE编号目前为保留状态，必须申请公开才行。

通过https://cveform.mitre.org/申请CVE编号公开，选择Notify CVE about a publication，这里的Enter a PGP Key (to encrypt)填入你之前cve审核给你邮箱发送的PGP Key(非必填项)。

这里需要注意的是该处的漏洞证明地址是你漏洞的复现过程，与cnvd的报告是一个道理，只不过这里需要你填写一个可以访问到的漏洞证明地址，例如：自己的github、gitee代码仓库地址（确保cve审核人员可以访问到该地址）。

点击提交后就开始我们的第二次审核了，等几分钟会再次收到一封确认邮件。

每次进行邮件反馈的时候都会收到一封确认邮件（这操作感觉比CNVD更人性化一点）

等了大概半天时间，我们会收到一封漏洞公开的邮件，收到这封邮件后就说明我们的第二次审核已经通过，cve编号即将被公开。

在几个小时内就会发布在cve官方网站(https://cve.mitre.org/cve/search_cve_list.html)进行公开，任何人可通过编号查询该漏洞的详细信息。

踩坑：这里我在二审的时候提交好几次都审核不通过，当时以为是操作流程有问题，最后发现是我当时使用github存放我漏洞复现文章，但是自己github账号被冻结了我没发现，导致审核无法访问到我的文章链接，所以二审耽误了一段时间，最后换了gitee没问题了。（提醒大家在放复现文档地址的时候确保cve审核人员可以访问到，要不只会白白浪费编号下放时间）

0x02 小问题

这里有个小问题想问下懂得师傅们（gzh:不懂代码的匹夫），该漏洞是去年提交的而且已经获取CNVD编号。我试着去申请CVE编号，CVE编号申请通过后，CNVD官方为什么又公布了一个新的漏洞，而且是一个新的CNVD编号并且关联了我的CVE编号，这是怎么回事呢？？？