看到互联网上的经验都比较老了,我就分享一下2026年最新的申请CVE过程和经验,后续还夹杂着我的一些工作感想。
自行CVE申请
申请的官网 : https://cveform.mitre.org/ :选中Repoort直接报告即可:
Attack vector(s) 通常可以填Github的issue链接或者自己建一个在公共空间填写的POC
向作者申请
如果是挖掘的开源软件,也可以直接使用Github内置的报告和开发者报告,这个效率非常高,开发者披露后走的是github分配的:
CVE申请的限制和审核加强
- CVE拒绝非正式版本的申请,我之前申请的bete版的漏洞拒绝了申请,具体请看
This request is relation to the beta version of a product. We are unable to assign for beta versions as they are not publicly available.
同时,并非所有的安全问题都有CVE或者适合CVE:举两个非常典型的例子,我在Github的开源仓库看到了大量的docker.socket不正确挂载导致容器的逃逸 类似 Dpanel,这种问题虽然严重,实战效果也很强,依然不会分配编号;另一个例子是红队常用的 Winodows降级攻击 WindowsDowndate ,这类利用天然的设计来带的安全问题也不会被收录到CVE
不确定Ai模型的问题会不会收录,我没有挖掘过任何ai相关的风险漏洞,不建议申请这类CVE,我目前没看到任何有关ai模型本身出现的幻觉或者注入会给CVE的,当然如果是涉及ai产品就是另外一回事了
CVE 申请效率
4ra1n以前的博客指出自行申请的效率:
实际上在2026年并不是如此,我的经验基本上一个月或者两个月就通过一批CVE(陆续送报的),很大可能和我们申请CVE的数量和排队有关,我猜测可能和邮件和批量审批有关,总之MITRE效率相比以前提高了很多,具体请看彩蛋。
CVE公开
等待CVE的回信,回信完毕会在档案里面写编号,第二步是申请公开,下面填入你的编号:
注意Link to the advisory不能填写github issue,我之前用的github issue写了官方回信如下:
最好自己写一个博客,然后写好漏洞分析,之后表格申请公开之后,等待一段时间(几天的时间)会收到一封邮件,内容大概是是漏洞将会在几个小时公开:
等待一会就能看到官方之后官网公布(这里点名表扬一下bing搜索当天就收录了,谷歌搜索还是空的,谷歌的搜索真不如bing优化的好),刚公开的会显示 “This CVE record has been marked for NVD enrichment efforts.",还需要等待NVD进行完整的漏洞评价:
等待NVD完成漏洞的危险评级,3月4号公开到10号,我这里等待了6天,漏洞评级基本一周就评价完了:
向 Apache报告漏洞
向Apache私下送报,按照官方的要求来,也是标准的送报流程:https://security.apache.org/report/
具体内容可以见 https://security.apache.org/report-code/ ,注意要纯文本发邮件,不然Apache会拒绝,让你重写邮件,难道是怕0day打过去给对面黑了?哈哈哈,很安全,纯文本。
等待一段时间,Apache会回复一个这样的邮件,说已经收到你的报告了,会转交给负责的团队,然后让你看看这个 https://apache.org/security/committers.html
具体情况需要等待几周,会根据危害来排处理优先级,一般高危的很快就会回复,中等低危的一般会要几周,Apache会自动为送报者分配CVE,我们只需要等Apache公告就行了。
CVE的FAQ
- CVE的编号长短和漏洞影响有关系吗?
本身没有直接关系,一个知名的例子是log4shell的编号是CVE-2021-44228,本身是5位,依然影响很大。但是确实所知大部分严重的漏洞也确实是4位数为主,类似Heartbleed和BlueKeep,其中的编号是CVE-2019-0708 和 CVE-2014-0160,其中最核心的原因是由于 CVE Numbering Authorities (CNAs)
可以请求一批 CVE 编号块 保留用于自己的产品,如果未来自己的产品存在漏洞就用已经申请的公布,而CNA基本都属于大机构,类似Linux内核、微软等大机构提前申请了一批短号的预留,这就导致了我们看到危害广泛的漏洞大部分都是4位短号。
https://www.cve.org/Resources/Media/Archives/OldWebsite/about/faqs.html
- 挖CVE耗费时间吗?
大部分时候取决于漏洞复杂度和产品的复杂度,如果你非常擅长某个领域的漏洞知识,挖漏洞的速度其实非常快;我用Codeql进行web漏洞挖掘或者IDA进行逆向挖掘简单到中等难度的漏洞大概只需要24个小时到48个小时(复杂的肯定是挖不出来了,哈哈哈,大部分都是借着大佬写的规则挖的),而且大部分时间还是在搭环境和调试,写全英文的报告和漏洞分析还很麻烦。据说有顶尖的Windows安全研究员在工作流完备的情况下可以在12个小时内挖出Windows 0day,虽然传言看起来夸张,但普通黑客实际上和顶尖的差距就是如此之大。
- CVE的含金量怎么样?
很大程度取决于挖的漏洞类型和自身的技术实力,还有一点点运气,数量反而不重要,挖出一个Sql injection和挖出几百个要求的技术水平可能相差不了太多,更多是工作流的熟练度和自身的肝度,但如果面临已经被挖烂的项目还能挖出来,甚至组合各种特性绕过,其中的技术含量就是很高的,在我阅读其他大量写的披露CVE的文章见到了不少顶尖技巧,这些都是极少人懂的。
总体来说有总比好过没有,没有也不代表技术水平不行,其中最为知名的 Raphael Mudge ,现代红队奠基人、Cobalt Strike的核心作者也表示:“自己没有提交过任何CVE:”
不过我们国内HR和领导喜欢看这个,新入门的师傅最好还是搞一定数量,不然就是Raphael Mudge来投简历,一样能被卡,也是很悲哀的,苦练几千个小时的技术,一个不合适就否定了
- 和国内的CNVD比怎么样?
我个人名下没有任何CNVD,以前基本都是给公司账户提交,我不怎么挖国内的软件,主要国内太卷了,而且国内大部分厂商似乎也有这类KPI,一般漏洞都是交给了公司,正如我之前的观点,黑客的人脉圈子虽然很小,但是技术栈的差距是极大的,简历没有个人账户下的CNVD或者CVE只能说明没有个人没有申请过,不代表综合实力,而且写报告对我来说也很累,报告这部分提升技术有限(如果实力本身就很强了,压根没有提升,就是浪费时间了),确认漏洞范围的版本还麻烦,要一个个去下载搭环境测试,我麻了,有这时间不如多攻略点二次元美少女,还隔这人工看版本的代码变化。
话题扯远了,鉴于国内CNVD的封闭性质,很多漏洞默认都不披露,很难在公开的披露里面学到什么实际上的技术,对比CVE来说材料是少的太多了,不过先知安全社区一般有人分析,相对来说缓解了这一点,但懂得都懂,国内重要的、有价值的漏洞都藏起来了(笑😀。
安全研究员与产品厂商之争
安全研究员有必要负责的进行披露,产品厂商同时也有责任保护用户的安全。但是历史上也确实出现了产品厂商拒绝安全研究员的漏洞,拒绝修复的情况,所以安全研究员选择完全披露,一方面是保护公众利益,另一方面将问题公开集思广益,大家一起解决问题,历史上部分产品厂商发现掩盖问题并不能解决问题,也都改变了对态度—悬赏大量漏洞奖励安全研究员挖掘自家的产品漏洞。
关于漏洞本身,虽然大家都默认RCE类的漏洞就是比其他类型的漏洞直观上危害大,但实际上我持有不同的观点,举一个知名的例子是“带上你的脆弱的驱动”,早年的时间进攻方向的RT通常并不会遇到很强的EDR,而在2026 (Bring Your Own Vulnerable Driver ) 已经成为了高级红队的基本功,以前只有少数APT才会的。
如果按照以前的评价这类漏洞,需要本地的管理员权限进入内核只能修改几个字节,这无疑是鸡肋的漏洞,并且会被质疑是毫无作用的,但伴随着EDR越来越强大,为了克服操作困难,这类技术被APT、红队、勒索组织广泛的运用。
时间证明了,当下可能鸡肋的技术和漏洞,在未来可能会发挥巨大的作用,同样的,现有行至有效的技术可能会伴随着时间而退居二线。到底有没有含金量完全取决于用途和场景,这个暂时不讨论,但是自行申请CVE相当于给了研究员于产品厂商解决矛盾的问题,另一个例子是倾旋的观点:
https://payloads.online/archivers/2026-02-04/browseros-prompt-inject/
综合下来,我也从我的角度来看也不太认同4ra1n的观点,自行申请也完全没问题,总要有人指出问题。
MITRE 机构的态度
MITRE机构不偏袒厂商也不偏袒安全研究员,只是客观记录内容。历史上,如果有广泛的同行质疑,CVE则会被取消,但通常不会被厂商的压力所取消。
高级用户和普通用户
高级用户这泛指黑客、安全研究员、安全服务等工程师,他们通常直接使用CVE服务于自己的工作(无论是进攻向的还是防御向的),这类用户直接正向的促进了CVE的工作和他们自己本身的技术放到了普通用户面前,无论是主动的还是被动的。
普通用户这里泛指被动接收的一般的大众、企业客户,他们通常使用软件服务于自己的活动,无论是业务活动还是娱乐活动,CVE通常只是他们软件的附带缺陷,普通用户通常没有足够的技术背景来理解漏洞的背景知识,这就导致高级用户服务于他们工作的时候会遇到很多工作上的困难,这类知识上的隔阂是巨大的。
以下是隔阂的常见例子:
客户对蓝队:为什么我的EDR/XDR还是被绕过,是不是你们推荐的EDR/XDR就是PPT?为什么没有拦住攻击? 客户对红队:为什么你们打不进来,是不是你们技术不行?为什么我本地漏扫的RCE漏洞没有复现出来?
这种隔阂在高级用户之间都是普遍存在的,即使是资深的红队也很难理解windows或者linux的kernel exploit,而研究员也未必能高效的进行渗透不触发蓝队的警告,好在同属于技术背景不至于有客户那种尖锐的质疑,但这进一步加剧了不同身份之间工作传递的矛盾。
这让我不禁的回忆起来一个离谱的项目,是要帮助客户验证漏洞,客户说非要展示稳定利用(就是那种windows内核堆溢出的1day,这种级别的漏洞能稳定复现怕是水平得到pwn2own,估计能轻松利用),我说我们没有这个实力反而被客户嘲讽说没有技术(我内心服了,我要是有pwn2own的技术实力早就去比赛夺冠了,早就是殿堂级黑客了还给你做项目)
本质的冲突
由于圈子不同,通常来说攻击方和防守方不会有直接的接触,但我同时在攻击和防守侧都工作过,整个经历放在全国都很特殊,以下是我的个人观点:
作为防御者,需要清晰的认识到,如果这世界不存在攻击者,自然这个世界就不需要防守方了。一个显而易见的例子就是这些安全产品,如果没有各类SQL注入、各类花式的攻击技术自然就不需要WAF了,如果没有各类顶尖的五花八门的后门,厂商还需要开发EDR/XDR去检测吗?
然而绝大多数企业买了安全产品,并且以为期待这些工具能自己发挥作用,并且错误的以为自己的实力等于这些安全工具的实力,却忽视了自己实力不足,这就犯了和攻击者一样的脚本小子心态。对那些一线的攻击者可以说“你不过是拿着工具扫出来的漏洞入侵” 同样可以谴责那些一线的防守阵营的“你不过是拿着工具阻止了入侵”。
越是强大的工具越需要强大的知识才能掌握,才能真正的理解和使用,这个是显而易见的,但是我见到全球绝大多数安全厂商都在宣传买了就能一劳永逸,阻止一切威胁,真是可笑,这几年还套上了AI的壳子,AI在我看来无非也就是一个工具,这个工具没有任何特殊之处,同样遵循着上面的基本道理,一台电脑在一个普通人和一个黑客手里,前者只能拿来上网娱乐,后者可以使用电脑操控数十万甚至数百万设备,AI也是同样的道理。
作为攻击者,必须正面意识到,防守侧的工作对攻击者工作的支持,大部分Github上的漏洞扫描工具、进程注入技术都隶属于安全厂商开源,安全厂商之间也存在竞争和合作,他们都在宣传自己的产品才算最好的,防守的安全研究员对系统机制的理解精通到了极致,以至于他们开源了大量的新的进程注入技术、WAF绕过技术来区别于其他产品(这似乎传递的一种观点,我们的安全产品不一样,看他们没能阻止这种新的注入,看他们的WAF没能阻止我们开发的绕过技术,我们的产品能阻止,买我们的产品吧【笑】)。
就这一点而言,攻击者一样依赖防守方的工作,很多顶尖的对抗技术反而诞生在防守方的实验室里面。而大厂发布的APT技术解读报告,也反过来帮助全行业的攻击者,我博客分享的很多技术都来自于威胁情报的实验室优秀的逆向工程所解读的,我不过是把逆向工程师的逻辑重新写成了源代码发布。
同时职业生涯也并非一成不变,攻击做到极致可能转去做防守,防守做到极致转而做攻击,这种例子的普遍存在的,国内的倾旋做了红队之后转而做企业安全建设,而Brute Ratel C4的作者在出来创业前是在银行的防守方任职,他们都是全球顶尖的人才,他们的职业生涯正说明了这个道理:攻击的极致便是防守,防守的极致便是攻击。
贬低或者攻击对手并不能使自己变优秀,互相尊重对手的工作,稳扎稳打的学习基础知识提升自身的实力,才能推动整个行业的进步,我见过太多把对手的失败归结于自己的成功,而不是客观因素,把自己的成功认为是理所应当的,居然互相攻击嘲讽,这是一个错误的心态,如果觉得对手的观点不对,就拿出证据,写出博客,扩散正确的观点,让全行业到达你的水平。
闲聊
感谢你看到这里,本文已经聊了太多话题,随便聊聊吧,00年出生的我也都26岁了,从毕业到现在我亲眼见证了国内外网络安全行业的动荡,经历了不断的裁员和入职,我们00后这一代的安全从业者的职业生涯也跟着动荡,早年2021-2022年的攻防演练都还是shiro反序列化+fscan那种一把梭,现在2026已经进化成为了ai agent代理人战争了,比拼的是居然不是自己的实力而是自己的ai更强所以能分数更高,这……,笑哭,不过话说回来,之前攻防也是比拼自己的工具,毕竟要打几千个URL,还不是靠扫描器+人工肝,似乎把这个部分变成了扫描器+AI+人工辅助了,笑哭,古法的打法已经过时了,必须要接受现实情况,将ai接入自己的工作流,甚至改变行业的工作流。
国内外的行业的淘汰率非常高,特别的在激烈的红队对抗领域,必须要立刻证明自己的价值的,我见过不少厂商的战队和蓝军都经历过裁员重组,我从未见过工作经验超过3年以上的一线红队,可能只有少部分战队负责人能过这个数。
和蓝队的防御不一样,蓝队本身每天都在证明自己的价值,没出事就是最好的消息。大部分红队攻击者手转去做防御,少部分卷出天际的直接挖0day去了,也就没必要打攻防演练了。我本人虽然比较乐观,但我的同事和朋友的焦虑也确实传递给我了:会不会失业?会不会ai直接接管我们的工作?ai都能挖0day了,还有必要卷吗?
我依然认为学习很有必要,如果没有足够的基础知识,是无法很好的使用和构建ai工程的,而且ai本身的安全问题依然很严重,受限于ai概率模型的基础设计,提示词注入和间接注入的问题依然没有被解决,无非是一线的攻击者和防御者没有落地ai的攻防罢了,假设ai接入了比方说某个恶意代码的分析平台,作为恶意代码的开发者也依然可以直接攻击ai本身迫使ai得出错误的结论,或者停止分析,就从底层逻辑来看,将ai的实力比拼重新拖回人类的实力比拼,起码在10年到20年内,我依然认为ai不会替代我们的工作。
彩蛋的时间了,写邮件和报告也是很费时间的:
参考资料:
https://zeroday.endlessparadox.com/ https://aff-wg.org/2025/03/13/the-security-conversation/ https://4ra1n.github.io/2022/013.html https://www.cve.org/Resources/Media/Archives/OldWebsite/about/faqs.html
来点轻松的时间,又到二次元的时间了!老惯例了,嗯,我3.x最喜欢的莫宁(全方位、完美符合我的理想中的老婆)!白毛合法萝莉红瞳理工美少女?(已经三十多岁了?不过二次元年龄没关系!哈哈哈,就喜欢这种娇小的老太婆XXX!
这表情,这演出,鸣潮无敌,可惜剧情太短了,浪费了这么好的人设
太有少女感觉了,要是能有一个这样的女朋友就好了!可惜技术能靠自己努力,缘分完全看天~,有没有什么恋爱渗透测试指南或者恋爱APT指南就好了?务必发我一份学习!或者她来攻略我也行?
CG也很不错:
还没完,下一个是亲女儿,本来我对红毛活泼人设完全无感的,设计还是变身机甲,虽然有人一眼就喜欢但我觉得一般般:
一个曾经父母双亡的孩子,被主角收养的照顾了一段时间(互联网上老婆党和女儿党据说吵得很凶?我是当小爱女儿了,推完剧情哭了,当老婆也行吧?剧情推完,这爱太沉重了!完美的爱)
为了拯救自己的朋友和家园献出了生命
死后化为电子幽灵,还是开朗活泼和生前一样:
一开始我还以为小爱隐瞒了什么关键情报,我还怀疑了一下是不是有什么个林奈那种间谍什么的剧情:
没想到女儿隐瞒的真相居然是失忆的过去,主角失忆前的愿望居然只是回家?我的天,这一段就有点愧疚了,没想到女儿是为了我才选择隐瞒真相:
最后剧情也直面真相:
哭了,这段剧情演绎的真的无敌,鸣潮的编剧这打的亲情牌直接就泪目了,二次元宅男最见不得这个了:
哈哈哈,还有经典二次元场面,主角的待遇就应该这样:
最后的合影?编剧一定要救一下啊
哭了,童年的回忆:
“我来保护你”
“我会和你一样成为救世主”
哭了,压根没笑(哭哭哭哭哭哭哭哭,现在还没缓过来:
最后展示一下实机拍摄的场景,已经可以说鸣潮无敌了!
