[Prisma Cloud Compute Ausgabe] Warum haben einige NVD-CVEs im Prisma Intelligence Stream kritische/hohe/mittlere Schweregrade mit CVSS-Werten von N/A oder 0?

[Prisma Cloud Compute Ausgabe] Warum haben einige NVD-CVEs im Prisma Intelligence Stream kritische/hohe/mittlere Schweregrade mit CVSS-Werten von N/A oder 0?

5140
Created On 09/30/24 21:59 PM - Last Modified 01/16/26 02:12 AM


Symptom


  • Eine CVE kann einen Schweregrad von Kritisch/Hoch/Mittel mit einem CVSS-Score von N/A oder 0 im CVE-Viewer haben.

  • Die CVE wartet auf die Analyse gemäß NVD.

  • Auf dem NVD-Link könnte die CVE einen GitHub-Eintrag mit CVSS und Schweregrad haben, aber der NVD-Eintrag würde N/A sagen.

Beispiele:






https://nvd.nist.gov/vuln/detail/CVE-2024-37298
https://nvd.nist.gov/vuln/detail/CVE-2024-41110


 

Environment


Prisma Cloud Compute Edition
Prisma Cloud Enterprise Edition

Cause


Dies ist ein erwartetes Verhalten, das mit unserem aktuellen Produktdesign übereinstimmt.

Resolution


In den Szenarien, in denen NVD angezeigt wird:

  • Wir verlassen uns in erster Linie auf NVD sowohl für den Schweregrad als auch für CVSS-Scores .

  • Wenn NVD die Analyse einer CVE noch nicht abgeschlossen hat, sind die CVSS-Bewertung und der Schweregrad möglicherweise nicht verfügbar.

  • In solchen Fällen greifen wir auf eine sekundäre Quelle wie GHSA zurück, aber nur für den Schweregrad.

  • Für den CVSS-Score verwenden wir ausschließlich das Rating von NVD , das derzeit als N/A markiert ist, da die Analyse noch aussteht.

  • Wenn wir uns auf den JSON-Code für CVE-2024-37298 in NVD beziehen, sehen wir, dass die primäre Quelle (NVD) noch nicht verfügbar ist, die sekundäre Quelle (GHSA) jedoch schon.
     

     {
      "cve": {
        "id": "CVE-2024-37298",
        "sourceIdentifier": "security-advisories@github.com",
        "published": "2024-07-01T19:15:04.283",
        "lastModified": "2024-07-02T12:09:16.907",
        "vulnStatus": "Awaiting Analysis",
        "cveTags": [],
        "descriptions": [
          {
            "lang": "en",
            "value": "gorilla/schema converts structs to and from form values. Prior to version 1.4.1, running `schema.Decoder.Decode()` on a struct that has a field of type `[]struct{...}` opens it up to malicious attacks regarding memory allocations, taking advantage of the sparse slice functionality. Any use of `schema.Decoder.Decode()` on a struct with arrays of other structs could be vulnerable to this memory exhaustion vulnerability. Version 1.4.1 contains a patch for the issue."
          },
        ],
        "metrics": {
          "cvssMetricV31": [
            {
              "source": "security-advisories@github.com",
              "type": "Secondary",
              "cvssData": {
                "version": "3.1",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
                "attackVector": "NETWORK",
                "attackComplexity": "LOW",
                "privilegesRequired": "NONE",
                "userInteraction": "NONE",
                "scope": "UNCHANGED",
                "confidentialityImpact": "NONE",
                "integrityImpact": "NONE",
                "availabilityImpact": "HIGH",
                "baseScore": 7.5,
                "baseSeverity": "HIGH"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 3.6
            }
     

  • Daher wählen wir den Schweregrad (Hoch) aus GHSA, aber nicht den CVSS-Score, da wir uns dafür ausschließlich auf NVD verlassen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HEDUCA4&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language