从CVE 常见问题解答：

信息安全漏洞是软件中的一个错误，黑客可以直接使用它来访问系统或网络。有关如何在 CVE 网站上使用该术语的完整说明，请参阅术语页面。

CVE 的目的是全面了解所有已知的漏洞和暴露。虽然 CVE 旨在包含成熟信息，但我们的主要重点是识别安全工具检测到的漏洞和暴露以及任何公开的新问题。

如果个别网站遭到破坏，网站所有者不太可能将其公之于众。如果他们确实公开了细节，并且只影响了他们自己的专有软件，那么对公众来说就没有什么价值了。如果漏洞存在于某个供应商（开放或封闭）使用和生产的软件中，那么它很可能是 CVE。

如果一个网站被破坏，那可能不是 CVE 类型攻击的结果，而可能是更通用的通用弱点枚举 (CWE )。例如，如果站点被 SQL 注入或 XSS 破坏，则特定字符串可能不会是 CVE，但可能会归类为 CWE。

如果您正在查找特定网站攻击的详细信息，您可能需要查找违规报告，例如隐私权信息交换所的数据违规列表。

对此进行测试的最佳方法是尝试提交您的发现并查看 CVE 社区希望在他们的审核过程中如何处理它。

我的理解是影响单个网站的问题（例如，facebook 上的 XSS）不符合 CVE 的条件，尽管 Web 应用程序是。因此，仅影响 Facebook 的问题不是，而是像 WordPress 这样的 Web 应用程序中的问题。

应用程序不一定要流行——我曾经为一个可能少于 1,000 个用户的应用程序请求 CVE。

您可以直接从Mitre或（对于开源软件）通过oss-security邮件列表请求 CVE - 如果有问题，或者问题不符合条件，他们会通知您。

还有其他组，例如OSVDB，可以跟踪更广泛的问题；尽管我不相信他们也不会跟踪特定网站中的问题。

CVE 是针对已交付然后使用的软件中的漏洞，而不是针对服务（例如网站）中的漏洞。因此，如果服务（例如网站）中的漏洞存在于作为软件包广泛可用的东西中（例如，Apache 或 PHP 或 WordPress 中的漏洞），那么该软件包中的漏洞将获得 CVE。

如果漏洞出现在无法下载的自定义编写软件的服务中（例如 Amazon、eBay 等），则该漏洞不会获得 CVE。

CVE 的最终目标是为漏洞提供标识符，以便当多个组织（例如报告者和上游以及使用它的社区）需要讨论漏洞时，他们都可以确定他们实际上在谈论同一件事.

为了准确起见，他们现在发布了他们对 CVE 感兴趣的供应商/软件： CVE Products Covered