¿Se puede CVSS modificar el sistema de puntuación para vulnerabilidades de CVSS Prisma Cloud v3.x a CVSS v2.x?

• ¿Se puede CVSS modificar el sistema de puntuación para vulnerabilidades de CVSS Prisma Cloud v3.x a CVSS v2.x?

• Prisma Cloud Calcular

• hardware Las vulnerabilidades de software y firmware representan un riesgo crítico para cualquier organización que opere una red informática, y pueden ser difíciles de categorizar y mitigar.
• El sistema de puntuación de vulnerabilidad común (CVSS) proporciona una forma de capturar las características principales de una vulnerabilidad y producir una puntuación numérica que refleje su gravedad, así como una representación textual de esa puntuación.
• La puntuación numérica se puede traducir en una representación cualitativa (como baja, media, alta y crítica) para ayudar a las organizaciones a evaluar y priorizar adecuadamente sus procesos de gestión de vulnerabilidades:CVSS
• CVSS v2.x requería que los usuarios tuvieran un conocimiento demasiado detallado del impacto exacto de una vulnerabilidad.
• Además, hubo quejas sobre varias métricas en CVSS v2.x que no eran suficientes para distinguir entre diferentes tipos de vulnerabilidades.
• Para superar las deficiencias de v2.x, CVSS v3.0 introdujo una serie de cambios en el sistema de puntuación que reflejaban con mayor precisión la realidad de las vulnerabilidades encontradas en la naturaleza: Sistema de CVSS CVSS puntuación 3.0

• Teniendo en cuenta los aspectos de seguridad anteriores, aprovecha el sistema de CVSS puntuación v3.0, Prisma Cloud que no se puede alterar ni modificar.
• Además de esto, en algunos casos, la puntuación y la clasificación de gravedad del proveedor pueden diferir de CVSS la OS calificación de NVD.
• Esto se basa en el análisis del proveedor del impacto de lo CVE específico a su OS y distribución, que es la visión más precisa de la vulnerabilidad.
• Prisma Cloud Muestra la clasificación del proveedor al informar de los resultados de las cargas de trabajo que ejecutan el , OSy recurre a NVDla clasificación de , cuando corresponde.

CVE-2021Ejemplos-21692

• Esto tiene una CVSS puntuación v3.x de 9.8 y calificado como "Crítico" por NVD : CVE-2021-21692
• El mismo CVE en CVSS la versión v2.x tiene una puntuación base de 7.5 y se califica como "Alto".
• Según el análisis del proveedor, esto CVE se califica como ": Crítico" y, por lo tanto, se rige por la calificación del proveedor y lo Prisma Cloud informa como "Crítico"SECURITY-2455: Jenkins Security Advisory 2021-11-04

CVE-2021-33574

• Tiene una CVSS puntuación v3.0 de 9.8 y se califica como 'Crítico' por NVD : CVE-2021-33574
• El mismo CVE es calificado como 'Bajo' por Ubuntu y 'Medio' por diferentes CVSS puntajes de Redhat.
• Para las cargas de trabajo que ejecutan Ubuntu, informa la calificación de Ubuntu, Prisma Cloud en lugar de la calificación de NVD.