您可以在不公布详细信息的情况下申请 CVE 编号。

我之前遵循的时间表是：

1. 通知供应商
2. 请求 CVE 编号，同时等待供应商响应
3. 发布咨询，一旦问题得到解决或经过一定时间

我认为 CVE 人员相当值得信赖，我将在发布之前向他们披露该漏洞的高级细节。他们需要这样做以避免重复，但您可以告诉他们将详细信息保密。如果此时有人搜索 CVE，它只会显示“保留”。当我发布时，我复制 CVE 人员，然后他们更新 CVE 条目以包含信息。

您确实需要在发布之前获得 CVE - 在您的咨询中包含 CVE 编号非常重要。

据我所知，您首先联系供应商。oss-security 邮件列表中有许多 CVE 请求指向错误跟踪器。当然，如果供应商忽略了这个问题，那就另当别论了……

我怀疑您的问题更多地与在不警告供应商的情况下披露是否合乎道德有关？

如果您申请了 CVE ID 并获得了一个，那么该漏洞将成为公共知识。建议您先联系软件开发商，并等待 30 天他们的回复。根据漏洞的严重程度，他们可能会要求您在他们有时间修补之前不要将漏洞公之于众。

总的来说，你选择的课程是你的决定。但与供应商合作将确保您不对发布该漏洞可能造成的损害负责。

如果有问题的供应商是 CNA（CVE 编号机构），那么当您向他们报告漏洞时，他们应立即为其分配 CVE 编号（这是 Red Hat 的标准操作程序）。如果他们未能为其分配 CVE，那么我建议您通过 cve-assign@mitre.org 联系 Mitre。

如果供应商不是 CNA，那么您可以通过 cve-assign@mitre.org 向 Mitre 请求 CVE。就我个人而言，我更喜欢该漏洞尽早获得 CVE（它使跟踪和协调更容易）。