[Prisma Cloud Compute Edition] Pourquoi certaines CVE NVD dans le flux d’intelligence Prisma ont-elles des sévérités critiques/élevées/moyennes avec des scores CVSS de N/A ou 0 ?

• Une CVE peut avoir une gravité critique /élevée/moyenne avec un score CVSS de N/A ou 0 dans CVE Viewer.

• Le CVE serait en attente d’analyse selon NVD.

• Sur le lien NVD, le CVE pourrait avoir une entrée GitHub avec CVSS et gravité, mais l’entrée NVD indiquerait N/A.

Il s’agit d’un comportement attendu conforme à la conception actuelle de nos produits.

• Nous nous appuyons principalement sur le NVD pour la gravité et les scores CVSS .

• Lorsque NVD n’a pas terminé son analyse d’une CVE, le score CVSS et la gravité peuvent ne pas être disponibles.

• Dans de tels cas, nous nous rabattons sur une source secondaire, comme GHSA, mais seulement pour la gravité.

• Pour le score CVSS, nous utilisons strictement la note de NVD , qui est actuellement marquée N /A car leur analyse est toujours en cours.

• En se référant au JSON pour CVE-2024-37298 dans NVD, nous voyons que la source primaire (NVD) n’est pas encore disponible, mais que la source secondaire (GHSA) l’est.
   

   {
        "cve": {
          "id": "CVE-2024-37298",
          "sourceIdentifier": "security-advisories@github.com",
          "published": "2024-07-01T19:15:04.283",
          "lastModified": "2024-07-02T12:09:16.907",
          "vulnStatus": "Awaiting Analysis",
          "cveTags": [],
          "descriptions": [
            {
              "lang": "en",
              "value": "gorilla/schema converts structs to and from form values. Prior to version 1.4.1, running `schema.Decoder.Decode()` on a struct that has a field of type `[]struct{...}` opens it up to malicious attacks regarding memory allocations, taking advantage of the sparse slice functionality. Any use of `schema.Decoder.Decode()` on a struct with arrays of other structs could be vulnerable to this memory exhaustion vulnerability. Version 1.4.1 contains a patch for the issue."
            },
          ],
          "metrics": {
            "cvssMetricV31": [
              {
                "source": "security-advisories@github.com",
                "type": "Secondary",
                "cvssData": {
                  "version": "3.1",
                  "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
                  "attackVector": "NETWORK",
                  "attackComplexity": "LOW",
                  "privilegesRequired": "NONE",
                  "userInteraction": "NONE",
                  "scope": "UNCHANGED",
                  "confidentialityImpact": "NONE",
                  "integrityImpact": "NONE",
                  "availabilityImpact": "HIGH",
                  "baseScore": 7.5,
                  "baseSeverity": "HIGH"
                },
                "exploitabilityScore": 3.9,
                "impactScore": 3.6
              }

• Par conséquent, nous choisissons la gravité (élevée) de GHSA, mais pas le score CVSS, car nous nous appuyons uniquement sur NVD pour cela.