本标准用于新条目,也用于逐步整理历史条目。目标是让人类研究者和 AI agent 都能快速判断一个条目的来源、适用范围、证据质量和风险边界。
每个条目优先使用:
<category>/<entry-name>/README.md
<category>/<entry-name>/img/1.png
category 通常是 CVE 或 CNVD。如果漏洞没有编号,可以先放在 CNVD/产品 漏洞标题/,后续拿到编号再补充别名。
README 顶部建议放置 YAML 元数据块:
---
id: CVE-YYYY-NNNN
aliases:
- CNVD-YYYY-NNNN
product: Vendor Product
vulnerability_type: rce | sqli | xss | file-read | file-upload | auth-bypass | other
affected_versions:
- "<= x.y.z"
status: legacy-unreviewed | normalized | verified | deprecated
confidence: low | medium | high
last_reviewed: YYYY-MM-DD
sources:
- type: vendor
url: https://example.com/advisory
- type: research
url: https://example.com/writeup
---- 漏洞简介:说明产品、漏洞类型、影响面。
- 影响范围:版本、配置、权限、网络暴露面。
- 来源与证据:官方来源、研究文章、截图、日志或实验记录。
- 验证条件:授权实验环境、前置条件、关键响应特征。
- 误报与限制:扫描器误报、版本差异、补丁状态、不可复现条件。
- 修复建议:升级、补丁、配置缓解、检测建议。
legacy-unreviewed: 历史条目,仍有参考价值,但未完全按本标准复核。normalized: 已补齐基本元数据、来源和结构。verified: 已在授权环境复核关键事实,或有强官方证据支撑。deprecated: 条目明显过时、误报、被官方更正或仅保留作历史记录。
证据应说明“为什么这个结论成立”,而不是只给一个请求样例。优先使用:
- 官方公告和补丁说明。
- CVE/NVD/CNVD 页面。
- 授权实验环境截图或日志。
- 版本指纹、响应特征、错误信息。
- 修复前后对比。
允许记录最小必要的研究细节;不应补充会明显提升滥用能力的持久化、横向移动、自动化批量利用、绕过检测或数据窃取流程。所有真实目标信息必须脱敏。