L'organisme (NVD) qui gère les CVE (publication de faille de sécurité) n'est pas forcément très regardant sur les rapports qui lui sont publiés.

Ils ont accepté une CVE sur CURL avec une date dans le passé (2020) à propos d'un simple bug et non d'une faille de sécurité. Et il l'ont classé avec une sévérité de 9.8/10