Prisma Cloud Compute: ¿Por qué el "estado de corrección" está vacío para algunos CVE NVD a pesar de que hay una solución disponible?

• Por lo general, en el caso de los CVE de aplicaciones y los CVE jar, obtenemos los datos de NVD.
• NVD no tiene ningún campo de estado y no proporcionan ninguna versión fija, solo las versiones afectadas.

• En el caso de NVD, hacemos todo lo posible para analizar el estado de la corrección en función de las versiones afectadas y la descripción.
  • Para la descripción:
    • En la descripción buscamos ciertas frases como "fijo en x"
  • Para las versiones afectadas:
    • En las condiciones de versión afectadas, si vemos algo como <x, entonces podemos asumir que x es una versión corregida y llenar un estado basado en eso.
    • En las condiciones de versión afectadas, si solo vemos las versiones afectadas (<=x o Hasta (incluido) x como NVD lo enumera), no podemos hacer suposiciones sobre la versión corregida.
    • Por ejemplo, si vemos <=1.9.13 , no sabemos si la versión corregida es 1.9.14 o 2.0 o si hay una.

Dado que no podemos analizar un estado de corrección en función de los datos que nos proporciona NVD y no queremos hacer suposiciones falsas, el estado se deja en blanco.

Este es el comportamiento esperado para los CVE de NVD en los que la versión de corrección no está clara.