他们的整个链条是否有资格获得 A CVE，或者每个人都有资格获得 CVE？

每个 CVE 旨在代表一个漏洞。与合并相比，潜在的 CVE 更有可能被拆分为更精细的粒度。

此流程的当前指南是纠正计数问题的流程，关于合并的部分仅描述了使用它来解决“解决分配给单个漏洞的多个 CVE ID”的问题。合并并非旨在描述一系列漏洞。

多个漏洞利用，每个漏洞都没有自己完成任何重要的事情

因此，当您让系统以与其设计和文档相反的方式运行时，就是漏洞利用。

让我们举个例子。假设您可以说服系统在内存中某个没有它应该有的特定值的地方翻转一点——也许是因为它目前处于未分配的区域中。如果您被授权在系统上分配或使用内存，那可能不是漏洞利用，但如果他们的设计/规范禁止该行为，它仍然是漏洞利用。如果您不应该这样做，那么无论其实用性如何，这都是一种利用。

如果您需要 10 个步骤来充分利用一个系统，那么这些操作中的 2-3 个是实际利用，而其他 7-8 个步骤是设置工作或利用后配置，这是可能的——而且相当普遍。

所以，看看你的“漏洞利用”列表，并询问每一个：“考虑到我采取这一步之前的系统状态，我应该能够做到吗？”

如果答案是“是的，这是允许的”，那么该操作就是准备/发布步骤。如果它是一个否，那么它是一个漏洞。

根据目标，使用您的概念验证代码联系供应商可能会有所帮助。他们的文档、支持人员或安全团队应该能够澄清软件未按预期运行的地方。在这种情况下，您将提交单独的 CVE。

最后，供应商可能会单独或在​​单个版本中修补您的 CVE，但这与漏洞/CVE 的数量无关。