本论文提出了一种名为全球CVE倡议（GCVE）的分散化、开放且可扩展的模型，用于漏洞识别、发布和运营丰富化。论文指出当前漏洞生态系统存在一个关键缺口：集中式系统（如传统CVE）提供严格的控制和广泛认可的标识符，但许多生产者（如安全厂商、开源项目）独立发布公告，缺乏用于发现、关联、丰富和复用的共享框架。GCVE作为一个社会技术标准化努力，结合了自治的GCVE编号机构（GCVE Numbering Authorities）、轻量级分配规则、分布式发布、开放的最佳当前实践（BCP）以及实用的参考实现。该模型在允许参与者根据其运营需求发布的同时，保持全局唯一性。GCVE还拓宽了漏洞记录的概念，涵盖分配、披露、目击（sightings）、拒绝标识符、观察、被利用漏洞信息以及丰富记录。论文描述了GCVE BCP过程如何支持技术互操作性和可修正的运营实践，包括漏洞处理和披露的实用指南。此外，它探讨了扩展机制，包括面向人工智能的扩展，作为一种在不集中控制的情况下演进标准的方式。特别关注了参考实现vulnerability-lookup，它聚合多个来源，支持GCVE发布和消费，实现分布式已知被利用漏洞数据，并支持自动丰富的漏洞数据流。基于MISP生态系统的经验教训，GCVE将漏洞协调不仅视为标识符分配，而且视为集体安全知识生产的开放基础设施。本文适合对漏洞管理、安全数据标准化、分散化系统感兴趣的安全研究人员和工程师阅读。

CVE-2026-25608 是 STER 软件中的一个漏洞，该软件在网络上传输数据时使用未加密的 TCP 流量。攻击者可以利用此漏洞实施中间人（MITM）攻击，拦截并窃取敏感数据，包括密码、个人身份信息和认证令牌。由于通信未加密，攻击者能够在不被发现的情况下读取或篡改数据。该漏洞已在版本 9.5 中得到修复。受影响的产品和厂商信息未在公开描述中明确。建议用户立即升级到 STER 9.5 或更高版本，以消除风险。此外，应限制网络暴露，避免将未加密的服务暴露在不可信网络中。由于无 CVSS 评分，但考虑到可能泄露敏感凭证，该漏洞风险等级评估为高。

该漏洞存在于 code-projects Online Hospital Management System 1.0 中的注册处理程序（Registration Handler）组件，具体位于一个未知函数中。攻击者可以通过远程方式操纵 'Username' 参数，导致不正确的授权（Improper Authorization）。这意味着攻击者可能绕过正常的授权检查，以低权限用户身份执行某些未授权的操作。漏洞的CVSS评分为5.4（中等），攻击向量为网络，攻击复杂度低，需要低权限但无需用户交互，影响范围有限（仅影响完整性和可用性，机密性不受影响）。目前该漏洞的利用代码已公开，可能被用于攻击。需要注意的是，没有证据表明该漏洞已在野外被利用或已被列入已知利用漏洞目录（KEV）。受影响的系统为 code-projects Online Hospital Management System 1.0。建议措施：1）尽快联系厂商获取补丁或更新版本；2）如果无法立即更新，应限制对注册处理程序接口的网络访问，仅允许可信IP地址访问；3）监控日志中针对注册功能的异常输入或重复请求；4）实施输入验证和授权检查强化。