[注意：请参阅@tim 的答案，这比我的快速谷歌更全面。]

MITRE 的官方文档可以直接回答您的问题cve.mitre.org，具体请查看https://cve.mitre.org/cve/identifiers/index.html，其中详细描述了 CVE 标识符、它们的创建方式以及如何使用请求一。

主页https://cve.mitre.org在主栏也有如下权限：

CVE 编号机构 (CNA)

CNA是请求CVE-ID 编号的主要方法。

CNA 是主要的操作系统供应商、安全研究人员和研究组织，它们将 CVE-ID 分配给新发现的问题，而不直接让 MITRE 参与特定漏洞的详细信息，并在漏洞的首次公开披露中包含 CVE-ID 编号。

以下 22 个组织目前作为 CNA 参与：Adobe；苹果; 附件；黑莓; 证书/CC；思科；Debian GNU/Linux；电磁兼容；自由BSD；谷歌; 生命值; IBM；ICS-证书；JPCERT/CC；微软; MITRE（初级 CNA）；Mozilla; 甲骨文；红帽; 硅图形；赛门铁克；和 Ubuntu Linux。

上面发布了一条关于从 MITRE 请求 CVE-ID 编号的周转时间的消息。有关从 CNA 请求 CVE-ID 编号的更多信息，请访问CVE 编号机构页面。

如果您对官方答案不满意，请说明您所知道的以及您在问题中遗漏的内容。

理论上：联系 CNA 或邮件列表

正如其他人所说，您将联系CNA。如果您在软件供应商列表中找不到，您可以直接联系 MITRE。

您也可以将其发布到邮件列表而不是联系 CNA。MITRE 提到了 bugtraq - 您将在其中发布您的漏洞（不是 CVE 请求），理想情况下通过 MITRE 获得 CVE - 但您也可以使用主要用于 CVE 请求的 oss-security（您可以看到来自 cve-assign @ MITRE 的分配率，所以你可以考虑它是否真的值得）。

如果您通过多种方法请求 CVE，则应提及任何先前的请求 - 成功与否 - 以避免重复分配。

MITRE 在他们的请求 CVE信息页面上也描述了这些可能性：

联系官方认可的 CVE 编号机构 (CNA) [... o]r，联系 CERT/CC 等紧急响应团队，将信息发布到 Bugtraq 等邮件列表，或将信息提供给漏洞分析团队 [...] 如果您无法通过上述主要方法获得 CVE 标识符号，您可以直接向 CVE 项目索取 CVE 标识符号。

实际上：MITRE 在分配 CVE 时遇到问题

问题是 MITRE 在实际分配 CVE 时遇到了麻烦，因为发现的漏洞增加了，所以要真正从它们那里得到一个需要一点运气。

抱怨已经有一段时间了，MITRE在他们的网站上有一个注释，称其为“延迟”：

最近启用互联网的设备（称为物联网）的爆炸式增长以及系统中基于软件的功能的传播导致我们每天收到的 CVE 请求数量大幅增加。我们没有预料到这种增长速度，因此没有像我们希望的那样为过去 12 个月中最近一次请求激增做好准备。结果是软件安全社区最近目睹了 CVE 任务的一些延迟。我们认识到由此带来的不便，并正在努力提出解决方案。

虽然 MITRE 只谈论延迟，但其他人报告说他们根本没有收到回复，请参阅此处、此处或此处（这也是我的经验以及 oss-security 等邮件列表中的活动所表明的）。

从 Mitre 获取 CVE的确切方法是通过电子邮件发送到 cve-assign@mitre.org 。当您向他们发送电子邮件时，您需要具体说明您请求 CVE 的原因，并且您需要向他们提供您发现的内容的要点。例如：

Cross Domain Paradigm Shift (issue)
Paradigm Vendor (vendor)
Versions (version of software affected)
Synopsis (proof of concept helps, e.g., debugging info, URL if web based etc)
Any vendor contacts you have made (email, fax, telephone, etc)

如果 Mitre 没有响应，您将通过 CNA的唯一时间。