ENISA 通知(72小时)(Notification)
截止期限
此通知必须在得知后 72小时 内发送给 ENISA / 主管国家 CSIRT。它是对预警(24小时)的补充。
模板:根据 Art. 14(2)(b) CRA 的漏洞通知
1. 预警参考
| 字段 | 值 |
|---|---|
| 预警参考号 | [EW-YYYY-NNN] |
| 预警日期 | [YYYY-MM-DD HH:MM UTC] |
| 通知参考号 | [SM-YYYY-NNN] |
| 通知日期 | [YYYY-MM-DD HH:MM UTC] |
2. 制造商标识
| 字段 | 值 |
|---|---|
| 公司 | BAUER GROUP |
| 联系人 | [姓名, 职务] |
| 电子邮件 | disclosure@cra.docs.bauer-group.com |
| 电话 | [电话号码] |
3. 受影响产品(更新)
| 字段 | 值 |
|---|---|
| 产品名称 | [名称] |
| 产品类型 | [软件 / 固件 / 容器镜像] |
| 所有受影响版本 | [完整版本列表] |
| 未受影响版本 | [未受影响的版本] |
| 修复版本 | [包含修复的版本,如已发布] |
| 估计用户/设备数量 | [更新后的估计值] |
| 受影响平台 | [操作系统, 架构, 部署类型] |
4. 详细漏洞描述
| 字段 | 值 |
|---|---|
| CVE ID | [CVE-YYYY-XXXXX] |
| CWE 分类 | [CWE-XXX: 描述] |
| CVSS v3.1 向量 | [例如 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] |
| CVSS 评分 | [X.X] |
| 严重性 | [CRITICAL / HIGH] |
技术描述:
[漏洞的详细技术描述,包括:
- 受影响的组件/功能
- 漏洞类型(缓冲区溢出, 注入等)
- 攻击向量和前提条件
- 成功利用后的影响]
利用场景:
[已知或可能的利用场景描述]
5. 主动利用
| 字段 | 值 |
|---|---|
| 确认主动利用 | [是 / 否 / 疑似] |
| 利用类型 | [例如 定向攻击, 大规模利用] |
| 信息来源 | [威胁情报, 客户报告等] |
| 是否列入 KEV 目录 | [是 / 否] |
| 已知威胁行为者 | [如已知] |
6. 影响分析(更新)
| 影响 | 评估 | 详情 |
|---|---|---|
| 保密性 | [高 / 中 / 低] | [受影响的数据] |
| 完整性 | [高 / 中 / 低] | [可能的篡改] |
| 可用性 | [高 / 中 / 低] | [可能的中断] |
| 个人数据 | [是 / 否] | [数据类型] |
| 人身安全 | [是 / 否] | [如为固件/IoT] |
7. 已采取的措施
| 措施 | 状态 | 日期 |
|---|---|---|
| 漏洞已分析 | 已完成 | [日期] |
| 已提供临时解决方案 | [已完成/进行中/未开始] | [日期] |
| 补丁已开发 | [已完成/进行中/未开始] | [日期] |
| 补丁已测试 | [已完成/进行中/未开始] | [日期] |
| 补丁已发布 | [已完成/进行中/未开始] | [日期] |
| 已通知用户 | [已完成/进行中/未开始] | [日期] |
| SBOM 已更新 | [已完成/进行中/未开始] | [日期] |
8. 对用户的建议措施
[面向受影响用户的明确说明,例如:
- 更新到版本 X.Y.Z
- 在补丁可用前的临时解决方案
- 配置变更]
9. 后续步骤
- [ ] 最终报告(<=14天,[计划日期])
- [ ] 后续补丁(如有必要)
- [ ] 利用活动监控
注意: 此通知将在 14 天内由最终报告予以补充。