[Prisma 云计算版]为什么 Prisma Intelligence Stream 中的某些 NVD CVE 具有严重性,CVSS 评分为 N/A 或 0?

[Prisma 云计算版]为什么 Prisma Intelligence Stream 中的某些 NVD CVE 具有严重性,CVSS 评分为 N/A 或 0?

5146
Created On 09/30/24 21:59 PM - Last Modified 01/16/26 02:12 AM


Symptom


  • CVE 的严重性可能为 “严重/高/中 ”, CVSS 评分为 N/A 或在 CVE 查看器中为 0。

  • CVE 将等待根据 NVD 进行分析

  • 在 NVD 链接上,CVE 可能具有包含 CVSS 和严重性的 GitHub 条目,但 NVD 条目将显示 N/A

示例:






https://nvd.nist.gov/vuln/detail/CVE-2024-37298
https://nvd.nist.gov/vuln/detail/CVE-2024-41110


 

Environment


Prisma 云计算版
Prisma Cloud 企业版

Cause


这是与我们当前产品设计一致的预期行为。

Resolution


在查看 NVD 的场景中:

  • 我们主要依赖 NVD 来评估严重程度和 CVSS 评分。

  • NVD 尚未完成对 CVE 的分析时,CVSS 分数和严重性可能不可用。

  • 在这种情况下,我们会回退到次要来源,例如 GHSA,但仅限于严重性。

  • 对于 CVSS 分数,我们严格使用 NVD 的 评级,该评级目前标记为 N/A ,因为他们的分析仍在等待中。

  • 参考 NVD 中 CVE-2024-37298 的 JSON,我们看到主要来源 (NVD) 尚不可用,但次要来源 (GHSA) 可用。
     

     {
      "cve": {
        "id": "CVE-2024-37298",
        "sourceIdentifier": "security-advisories@github.com",
        "published": "2024-07-01T19:15:04.283",
        "lastModified": "2024-07-02T12:09:16.907",
        "vulnStatus": "Awaiting Analysis",
        "cveTags": [],
        "descriptions": [
          {
            "lang": "en",
            "value": "gorilla/schema converts structs to and from form values. Prior to version 1.4.1, running `schema.Decoder.Decode()` on a struct that has a field of type `[]struct{...}` opens it up to malicious attacks regarding memory allocations, taking advantage of the sparse slice functionality. Any use of `schema.Decoder.Decode()` on a struct with arrays of other structs could be vulnerable to this memory exhaustion vulnerability. Version 1.4.1 contains a patch for the issue."
          },
        ],
        "metrics": {
          "cvssMetricV31": [
            {
              "source": "security-advisories@github.com",
              "type": "Secondary",
              "cvssData": {
                "version": "3.1",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
                "attackVector": "NETWORK",
                "attackComplexity": "LOW",
                "privilegesRequired": "NONE",
                "userInteraction": "NONE",
                "scope": "UNCHANGED",
                "confidentialityImpact": "NONE",
                "integrityImpact": "NONE",
                "availabilityImpact": "HIGH",
                "baseScore": 7.5,
                "baseSeverity": "HIGH"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 3.6
            }
     

  • 因此,我们从 GHSA 中选择严重性 (High),而不是 CVSS 分数,因为我们完全依赖 NVD
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HEDUCA4&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language