[Edición de cómputo en la nube de Prisma] ¿Por qué algunos CVE de NVD en el flujo de inteligencia de Prisma tienen gravedades críticas/altas/medias con puntuaciones CVSS de N/A o 0?

5130

Created On 09/30/24 21:59 PM - Last Modified 01/16/26 02:12 AM

Symptom

Un CVE puede tener una gravedad de Crítico/Alto/Medio con una puntuación CVSS de N/A o 0 en el Visor de CVE.
El CVE estaría a la espera de análisis según NVD.
En el enlace NVD, el CVE podría tener una entrada de GitHub con CVSS y gravedad, pero la entrada NVD diría N/A.

Ejemplos:

https://nvd.nist.gov/vuln/detail/CVE-2024-37298
https://nvd.nist.gov/vuln/detail/CVE-2024-41110

Environment

Prisma Cloud Compute Edition
Prisma Cloud Enterprise Edition

Cause

Este es un comportamiento esperado coherente con nuestro diseño de producto actual.

Resolution

En los escenarios en los que se observa NVD:

Confiamos principalmente en la NVD tanto para la gravedad como para las puntuaciones CVSS .
Cuando NVD no ha completado su análisis de un CVE, es posible que la puntuación y la gravedad de CVSS no estén disponibles.
En tales casos, recurrimos a una fuente secundaria, como GHSA, pero solo para la gravedad.
Para la puntuación CVSS, utilizamos estrictamente la calificación de NVD , que actualmente está marcada como N/A porque su análisis aún está pendiente.

Refiriéndose al JSON para CVE-2024-37298 en NVD, vemos que la fuente primaria (NVD) aún no está disponible, pero la fuente secundaria (GHSA) sí.

 {
      "cve": {
        "id": "CVE-2024-37298",
        "sourceIdentifier": "security-advisories@github.com",
        "published": "2024-07-01T19:15:04.283",
        "lastModified": "2024-07-02T12:09:16.907",
        "vulnStatus": "Awaiting Analysis",
        "cveTags": [],
        "descriptions": [
          {
            "lang": "en",
            "value": "gorilla/schema converts structs to and from form values. Prior to version 1.4.1, running `schema.Decoder.Decode()` on a struct that has a field of type `[]struct{...}` opens it up to malicious attacks regarding memory allocations, taking advantage of the sparse slice functionality. Any use of `schema.Decoder.Decode()` on a struct with arrays of other structs could be vulnerable to this memory exhaustion vulnerability. Version 1.4.1 contains a patch for the issue."
          },
        ],
        "metrics": {
          "cvssMetricV31": [
            {
              "source": "security-advisories@github.com",
              "type": "Secondary",
              "cvssData": {
                "version": "3.1",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
                "attackVector": "NETWORK",
                "attackComplexity": "LOW",
                "privilegesRequired": "NONE",
                "userInteraction": "NONE",
                "scope": "UNCHANGED",
                "confidentialityImpact": "NONE",
                "integrityImpact": "NONE",
                "availabilityImpact": "HIGH",
                "baseScore": 7.5,
                "baseSeverity": "HIGH"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 3.6
            }

Como resultado, elegimos la gravedad (alta) de GHSA, pero no la puntuación CVSS, ya que nos basamos únicamente en NVD para eso.

[Edición de cómputo en la nube de Prisma] ¿Por qué algunos CVE de NVD en el flujo de inteligencia de Prisma tienen gravedades críticas/altas/medias con puntuaciones CVSS de N/A o 0?

Symptom

Environment

Cause

Resolution

Other users also viewed: