CNNVD漏洞命名规范
作者:CNNVD 时间:2015年10月10日
一、 适用范围
本规范适用于CNNVD收录的所有漏洞,包括采集的公开漏洞以及收录的未公开漏洞。
二、 命名原则
易读性:易于了解漏洞厂商、产品、类型信息。
透明性:名称中避免暴露漏洞技术细节及危害情况等。
三、 CNNVD漏洞命名办法
CNNVD漏洞命名内容包括:“厂商名称”、“产品名称”、“漏洞存在位置”、“漏洞类型”三部分,以及最后加上“漏洞”二字,规则如下: 厂商名称+产品名称+漏洞存在位置+漏洞类型+漏洞
1) 厂商名称
厂商名称是漏洞受影响实体的厂商或组织名称的简称,如该公司为中国公司则采用中文名称;如为外国公司,则采用英文命名;如为外国公司且无英文名字,则采用公司官方给出语言命名。
2) 产品名称
产品名称是该漏洞影响产品的官方命名,不需要产品的版本号。
3) 漏洞存在位置
漏洞存在位置是指该漏洞在受影响产品中存在的具体位置,如:XX产品的XX脚本;XX系统XX函数。如该漏洞影响多个产品或没有明确指出具体存在的位置,则漏洞名称中不需要写出该内容。
4) 漏洞类型
漏洞类型参考“CNNVD漏洞分类规范”中的漏洞类型。如该漏洞信息不足以判断漏洞类型或漏洞类型为“其他”和“资料不足”,则统称为“安全漏洞”。
四、 CNNVD漏洞命名举例
|
类型
|
名称举例
|
|
国外公司
|
Google Chrome 内存损坏漏洞
|
|
Microsoft Office XML外部实体引用漏洞
|
|
Mozilla
Firefox‘HTMLSourceElement::AfterSetAttr’函数权限许可和访问控制漏洞
|
|
国内公司
|
腾讯Discuz!跨站脚本漏洞
|
|
卓卓织梦内容管理系统SQL注入漏洞
|
|
大汉科技大汉门户网站群系统配置错误漏洞
|
|
未定类型
|
Apple Safari WebKit 安全漏洞
|
|
IBM GSKit 安全漏洞
|
|
WordPress Ninja Forms插件安全漏洞
|
