Jako příklad mi ukazovali třeba https://nvd.nist.gov/vuln/detail/CVE-2024-24258#vulnCurrentDescriptionTitle
Nahlášeno na muPDF knihovnu, ale je to memory leak ve freeglut funkci pro kreslení menu. A skončilo to jako HIGH, protože exploitovatelné po síti (!?), někdo by tu knihovnu přece mohl použít v síťové službě.
Kolegové kvůli tomu napsali i sérii článků, protože to začíná být neudržitelné - existují organizace, co začaly vyžadovat 0 (nula) známých CVE pro dodaný software. Jenže těch CVE se teď objevuje tolik, že takový stav prakticky nejde zařídit.
https://www.redhat.com/en/blog/patch-management-needs-a-revolution-part-2