<div dir="ltr">Sujit,<div><br><div>A CVE number just indicates that the vulnerability was registered as a vulnerability to the Standard for Information Security Vulnerability Names maintained by MITRE. It's basically an id that points to a description of the vulnerability. These vulnerabilities aren't generic XSS, etc but are specific to systems so for example XSS in Jenkins or an XSS in mandoc. Descriptions or risks can be edited after the vulnerability is filed. The main point is that there's a common id across security systems so that if you get an advisory from red hat and an advisory from Canonical you can see that they're talking about the same vulnerability even if their fixes are different.</div><div><br></div><div>As an example, the CVE page for meltdown is <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753</a>. The National Vulnerability Database tends to have a bit more information for each CVE: <a href="https://nvd.nist.gov/vuln/detail/CVE-2017-5753">https://nvd.nist.gov/vuln/detail/CVE-2017-5753</a></div><div><br><div><br><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Best,<br>Thomas Wunderlich<br><br></div></div><br></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Jun 15, 2019 at 2:31 AM Sujit K M <<a href="mailto:kmsujit@gmail.com">kmsujit@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi All,<br>
<br>
I am new to security hacking. But I find that Companies, like hardware, publish<br>
vulnerabilities their products have. I see them as CVE be it UNIX/Linux or<br>
Windows. Are vulnerabilities classification so robust that they are  a fixed<br>
set, say memory read or xss.<br>
<br>
I  interestingly tried to hack on FreeBSD where we have wheel groups and<br>
say someone in a production system gets a user in wheel group. Now as per me<br>
the person should be able to run basic applications, also if cloud is<br>
where it is deployed. one can trick any user to authenticate to<br>
malicious programs.<br>
<br>
What is the opinion on this?<br>
<br>
Regards,<br>
Sujit K M<br>
<br>
_______________________________________________<br>
talk mailing list<br>
<a href="mailto:talk@lists.nycbug.org" target="_blank">talk@lists.nycbug.org</a><br>
<a href="http://lists.nycbug.org:8080/mailman/listinfo/talk" rel="noreferrer" target="_blank">http://lists.nycbug.org:8080/mailman/listinfo/talk</a><br>
</blockquote></div>