CNNVD漏洞命名规范
作者:CNNVD 时间:2015年10月10日

一、 适用范围
       本规范适用于CNNVD收录的所有漏洞,包括采集的公开漏洞以及收录的未公开漏洞。
二、 命名原则
       易读性:易于了解漏洞厂商、产品、类型信息。
       透明性:名称中避免暴露漏洞技术细节及危害情况等。
三、 CNNVD漏洞命名办法
       CNNVD漏洞命名内容包括:“厂商名称”、“产品名称”、“漏洞存在位置”、“漏洞类型”三部分,以及最后加上“漏洞”二字,规则如下:
       厂商名称+产品名称+漏洞存在位置+漏洞类型+漏洞
1) 厂商名称
       厂商名称是漏洞受影响实体的厂商或组织名称的简称,如该公司为中国公司则采用中文名称;如为外国公司,则采用英文命名;如为外国公司且无英文名字,则采用公司官方给出语言命名。
2) 产品名称
       产品名称是该漏洞影响产品的官方命名,不需要产品的版本号。
3) 漏洞存在位置
       漏洞存在位置是指该漏洞在受影响产品中存在的具体位置,如:XX产品的XX脚本;XX系统XX函数。如该漏洞影响多个产品或没有明确指出具体存在的位置,则漏洞名称中不需要写出该内容。
4) 漏洞类型
       漏洞类型参考“CNNVD漏洞分类规范”中的漏洞类型。如该漏洞信息不足以判断漏洞类型或漏洞类型为“其他”和“资料不足”,则统称为“安全漏洞”。
四、 CNNVD漏洞命名举例

类型

名称举例

国外公司

Google Chrome 内存损坏漏洞

Microsoft Office XML外部实体引用漏洞

Mozilla Firefox‘HTMLSourceElement::AfterSetAttr’函数权限许可和访问控制漏洞

国内公司

腾讯Discuz!跨站脚本漏洞

卓卓织梦内容管理系统SQL注入漏洞

大汉科技大汉门户网站群系统配置错误漏洞

未定类型

Apple Safari WebKit 安全漏洞

IBM GSKit 安全漏洞

WordPress Ninja Forms插件安全漏洞




漏洞信息快速查询