NVD

nvd.nist.gov

　CVE-2022-25521 の description は NUUO v03.11.00 was discovered to contain access control issue. ということで、 NUUO という製品に脆弱性がありました。しかし、元の description は UNNO v03.11.00 was discovered to contain access control issue. となっていました (NUUO ではなく UNNO となっている)。ちなみに変更履歴は、ページの下の方の「Change History」から「show changes」を押すことで見られます。
　reference も同様に http://unno.com となっていましたが、これにアクセスすると自転車メーカのサイトが表示され、まずアレッとなります。次にもうひとつの reference である Medium のページを見ると、 Use of Default Credentials to Unauthorised Remote Access of Internal Panel of Network Video recorder of NUUO となっており、 Vendor Homepage も https://nuuo.com/ と書かれていたため、 CVE 情報の typo を確信しました。

　さて、ここで初めての NVD に対する問い合わせをしました。フッタにある「Contact Us」からできます: Contacting NIST | NIST 。脆弱性番号と、見た URL 、どこが間違っていてどうなっているべきか (UNNO じゃなくて NUUO 、 http://unno.com じゃなくて https://nuuo.com/)、などを書いてフォームを送信しました。当時は (メールを見る限り) 「CVE Configuration Update Request」というのをプルダウンから選んで送ったようですが、今はフォームが新しくなっていて*1、選択肢が変わっていました (どれで送るのがいいのかわからないときは General Questions にしておけば受け取ってもらえそう)。

　数日ほどして、「ありがとう、 configuration は変えました。ただ description や reference のリンクなどは CVE Assignment Team のほうに問い合わせてね、 https://cveform.mitre.org/ からできるよ」というような返信がメールでもらえました。めちゃくちゃ丁寧。 NVD の変更履歴を見る限り、 configuration というのは CPE Configuration というもののようです。

CVE

cve.mitre.org

　というわけで大本の CVE 情報を直してもらうべく、 NVD 同様フッタの「Contact Us」から送りました: https://cveform.mitre.org/ 。大体同じ内容で書きましたが、 PGP key を入れる欄があったのは面白かったです (生成して送りましたが、今回は脆弱性を発見/報告したわけではなかったので？別に使いませんでした)。

　こちらも「ありがとう、レビューするね」というお返事が来ました。 NVD の変更履歴を見る限り、かなり素早く修正されていそうですね (ありがたい)。

番外編: Security NEXT

www.security-next.com

　脆弱性について記事を公開しているサイトです。下の方に書かれている通り、アップデートされたバージョン番号が 2021.005.20148 となっていたのに対して、 Adobe の情報を見ると 2021.005.20048 となっていたので、フッタの 運営会社：Security NEXT からメールを送りました。
　Security NEXT編集部さんから「記事公開当時の Adobe の情報がそうなっていたためで、たしかにそう更新されていたので修正しました、ありがとうございました」というお返事をもらい、なるほどそういうことがあるのか、という体験でした (たしかに Adobe のページをよく見るとそういう変更履歴が書かれていました)。