いいえ、「Running on/with」に記載されているCPEを指定しても脆弱性は検知できません。 Configuratoinsに記載のCPEを指定してください。
NVDのCVEページに記載されている、「Known Affected Software Configurations」は、その脆弱性が該当するソフトウェアのバージョンについて示すセクションです。ここにリストされているバージョンは、脆弱性が存在すると確認されたもので、ユーザやシステム管理者はこの情報を使って自分のシステムが影響を受けるかどうかを判断できます。
「Running on/with」は、その脆弱性が存在するソフトウェアが特定のオペレーティングシステムや他のソフトウェア、ハードウェアなどと共に動作しているときに影響を受けるかどうかを示します。
例えば「Running on/with」に「cpe:2.3:h:cisco:catalyst_ie9300:-:::::::*」が記載されている場合、その脆弱性は「Cisco Catalyst IE9300」上で動作するソフトウェアに影響を及ぼす可能性があることを示します。
なお、2023年6月時点では、FutureVulsでは「Running on/with」を考慮せずに「configurations」に記載されたCPEのみでマッチ処理を行っていますが、近い将来、「Running on/with」を考慮したより高度なCPE検知処理をリリース予定です。
コメント
0件のコメント
サインインしてコメントを残してください。