CVE 발급 방법 (non-CNA)

 

Non-CNA란 Mitre 사와 협약되어 있는 CNA(CVE 발급이 가능한 기관)가 아닌 회사를 뜻합니다.

 

 

1. 제품에 대한 취약점을 발굴 시에 Mitre 사에 제출 시도하였습니다.
URL : https://cveform.mitre.org/

2. Attack Type은 Local로 변경 후 관련 내용 작성을 하였습니다.

1) Affected component (취약한 제품의 URL)
2) Attack vector (공격 시도한 파라미터)
3) Suggested description of the vulnerability for use in the CVE (사용한 공격에 대한 자세한 설명)
4) Discoverer/Credits (CVE 발견자 이름)
5) Reference (공격 방법에 대한 보고서가 작성되어 있는 URL) - 필자는 Notion 사용하였습니다.

 

3. Submit 후 2달 가량을 기다리면 Mitre 사에서 CVE 번호를 발급해 주는 것을 확인하였습니다.

4. CVE가 발급되어 Mitre 내에 조회 시 Reserved 상태로 확인하였습니다.
(Reserved 상태란 )

5. Reserved 상태인 CVE를 발급 받기 위해서는 취약한 제품의 벤더사의 보안 패치 내역을 제출 시도하였습니다.
URL : https://cveform.mitre.org/

예시)  v7.37 [2025/2/11]

• 더블 클릭으로 파일을 압출 해제할 때 MoTW 정보를 처리하지 않는 보안 문제 수정 (Thanks to LEE WOOJIN)

[KISA를 통한 발급]
(필자는 벤더 사에서 보안 패치 내역 공지가 불가능하여 KISA를 통하여 발급하였습니다.)

 

1. KISA 홈페이지 내에 접속하여 [취약점 신고/조회] - [취약점 신고 접수]

2. 취약점이 KISA 내에 인정 받아, KVE 발급 후 CVE  발급을 위해 문의하였습니다.

3. KISA 문의에 대한 답변으로 3개월 이후에 CVE 발급해 준다는 것을 확인하였습니다.

 

이런 식으로도 발급할 수 없는 경우도 존재합니다.