Я не уверен, что всегда есть патч для соответствующего CVE?
А что, если patch_a не исправит CVE должным образом, а затем здесь patch_b, так что есть два патчи для исправления одного определенного CVE. В этом случае будет ли обновлена ссылка на CVE?