【Prisma Cloud コンピューティング版】Prisma Intelligence ストリームの一部の NVD CVE の重大度が Critical/High/Medium で、CVSS スコアが N/A または 0 であるのはなぜですか?

【Prisma Cloud コンピューティング版】Prisma Intelligence ストリームの一部の NVD CVE の重大度が Critical/High/Medium で、CVSS スコアが N/A または 0 であるのはなぜですか?

5130
Created On 09/30/24 21:59 PM - Last Modified 01/16/26 02:12 AM


Symptom


  • CVE の重大度は Critical/High/Medium で、 CVSS スコアは N/A または CVE Viewer で 0 です。

  • CVEはNVDに従って分析を待っています

  • NVD リンクでは、CVE には CVSS と重大度の GitHub エントリを含めることができますが、NVD エントリには N/A と表示されます。

例:






https://nvd.nist.gov/vuln/detail/CVE-2024-37298
https://nvd.nist.gov/vuln/detail/CVE-2024-41110


 

Environment


Prisma Cloud Compute Edition
Prisma Cloud Enterprise Edition (英語)

Cause


これは、現在の製品設計と一致する想定される動作です。

Resolution


NVDを見るシナリオでは:

  • 私たちは主に、深刻度とCVSSスコアの両方でNVDに依存しています。

  • NVD が CVE の分析を完了していない場合、CVSS スコアと深刻度が利用できない場合があります。

  • このような場合、 GHSAのような二次ソースにフォールバックしますが、重大度についてのみです。

  • CVSSスコアについては、NVDの評価を厳密に使用していますが、分析がまだ保留されているため、現在はN / Aとしてマークされています。

  • NVDの CVE-2024-37298 のJSONを参照すると、プライマリソース(NVD)はまだ利用できませんが、セカンダリソース(GHSA)は利用可能であることがわかります。
     

     {
      "cve": {
        "id": "CVE-2024-37298",
        "sourceIdentifier": "security-advisories@github.com",
        "published": "2024-07-01T19:15:04.283",
        "lastModified": "2024-07-02T12:09:16.907",
        "vulnStatus": "Awaiting Analysis",
        "cveTags": [],
        "descriptions": [
          {
            "lang": "en",
            "value": "gorilla/schema converts structs to and from form values. Prior to version 1.4.1, running `schema.Decoder.Decode()` on a struct that has a field of type `[]struct{...}` opens it up to malicious attacks regarding memory allocations, taking advantage of the sparse slice functionality. Any use of `schema.Decoder.Decode()` on a struct with arrays of other structs could be vulnerable to this memory exhaustion vulnerability. Version 1.4.1 contains a patch for the issue."
          },
        ],
        "metrics": {
          "cvssMetricV31": [
            {
              "source": "security-advisories@github.com",
              "type": "Secondary",
              "cvssData": {
                "version": "3.1",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
                "attackVector": "NETWORK",
                "attackComplexity": "LOW",
                "privilegesRequired": "NONE",
                "userInteraction": "NONE",
                "scope": "UNCHANGED",
                "confidentialityImpact": "NONE",
                "integrityImpact": "NONE",
                "availabilityImpact": "HIGH",
                "baseScore": 7.5,
                "baseSeverity": "HIGH"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 3.6
            }
     

  • その結果、GHSA から重大度 () を選択しますが、CVSS スコアは選択しません。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HEDUCA4&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language