发件人： Art Manion via Fulldisclosure <fulldisclosure () seclists org> 日期： 2026年1月8日 星期四 18:26:44 +0000

你好，

这些漏洞尽管是真实的、独立发现的、已向供应商负责任地披露并获得其承认，但不再被认为符合CVE追踪的资格。 CVE ID 可以 分配给SaaS或类似的“纯云端”软件。在过去一段时间内，曾存在一项限制，即只有提供商才能创建或请求此类分配。但当前的CVE规则取消了这一限制：

4.2.3 CNA（CVE编号机构）不得将技术类型（例如，云端、本地部署、人工智能、机器学习）作为决定分配的唯一依据。

将CVE-2025-34411和CVE-2025-34412保持发布状态并将其标识为影响“exclusively-hosted-service”（纯托管服务）本是可以接受的（甚至是更优的选择）：

5.1.11.1 （CVE记录）必须 在所有已知的、记录中列出的产品仅作为完全托管服务存在时，使用“exclusively-hosted-service”标签。如果该漏洞同时影响托管服务和本地部署产品，则不得使用此标签。

规则链接：https://www.cve.org/resourcessupport/allresources/cnarules

此致，

• Art

通过Full Disclosure邮件列表发送 https://nmap.org/mailman/listinfo/fulldisclosure 网络存档与RSS：https://seclists.org/fulldisclosure/