products_vulns_with_cves エンドポイント一覧に戻る
指定期間, 指定製品の脆弱性情報を取得します。 複数の製品、製品バージョン、および対応しているシステムのパッケージリストを指定できます。
このAPIは、SIDデータベースに不足している脆弱性情報をVAデータベース*から補完して取得することもできます。
定期的に呼び出しレスポンスを確認することで、特定CVE情報の更新を監視することができます。
*VAデータベースは、NVD/EPSS/KEV等の外部データベースから取得した情報をCSCで集積しているデータベースです
HTTPメソッド
post
ヘッダー
| Field | Type | Description |
|---|---|---|
| X-License-Id | String |
SIDfm ライセンス ID X-Api-Key と組み合わせて使用します。 |
| X-Api-Key | String | SIDfm アクセス API キー |
パラメータ
| Field | Type | Description |
|---|---|---|
| begin_datetime | String |
脆弱性情報の取得開始日時 (指定日時を含みます) end_datetime と組み合わせて使用します。 Example: "2024-09-01 14:30", "2024-09-01", "20240901" |
| end_datetime | String |
脆弱性情報の取得終了日時 (指定日時を含みません) Example: "2024-09-01 14:30", "2024-09-01", "20240901" |
| time_field optional | String |
指定日時で検索するフィールド "affect_product" 脆弱性に影響する製品の登録日時・更新日時を使用して検索します。(VM向け) "affect_product_update_datetime" 脆弱性に影響する製品の更新日時を使用して検索します。 "any" 脆弱性情報全体の更新日時(脆弱性のどの部分が変更されても更新される)を使用して検索します。 Default value: "affect_product" Allowed values: "affect_product", "affect_product_update_datetime"*, "any" |
| product_ids optional | Integer[] |
脆弱性情報の取得対象製品 ID **product_ids, product_version_ids のどちらか一方は指定する必要があります。** |
| product_version_ids optional | Integer[] | 脆弱性情報の取得対象製品バージョン ID |
| packages optional | String[] |
ホストへインストールされているパッケージのリスト パッケージリストは次のコマンドで取得したものを想定しています。 rpm (RHEL8) `rpm -qa --qf '%{name}-%{version}-%{release}.%{arch}.rpm %{modularitylabel}\n'` rpm (RHEL5,6,7, CentOS5,6,7, Amazon Linux) `rpm -qa --qf '%{name}-%{version}-%{release}.%{arch}.rpm\n'` deb (Debian, Ubuntu) `dpkg-query --show --showformat='${Package}_${Version}\n'` |
| package_scan_period optional | String |
パッケージによる脆弱性スキャンの対象期間 "specified_datetime" 他の指定製品と同様に begin_datetime, end_datetime の指定期間の脆弱性をスキャンします。 "all" パッケージのみ全期間を対象として脆弱性をスキャンします。(パッケージの脆弱性スキャンに関しては指定期間を無視します。) Default value: "specified_datetime" Allowed values: "all", "specified_datetime" |
| cve_ids optional | String[] |
検索するCVE IDのリスト(OR検索) 空配列の場合は全件検索となります。CVE ID以外は無視されます。 Example: ["CVE-2025-48988"] |
| source optional | Integer |
SIDデータベース、VAデータベース(NVD)、両方 のどのソースを脆弱性のソースとして返すか 0 SIDデータベース 1 VAデータベース 2 SIDデータベースとVAデータベース Default value: 0 Size range: 0-2 |
レスポンス
| Field | Type | Description |
|---|---|---|
| sidfm | Object[] | SIDfm 脆弱性オブジェクト |
| id | Integer | 脆弱性 ID |
| title | String | 脆弱性タイトル |
| area_id | Integer | 影響範囲 ID |
| create_datetime | String | 脆弱性登録日時 |
| update_datetime | String | 脆弱性更新日時 |
| short_description | String | 脆弱性の短い概要 |
| risk_id | Integer | 危険度 ID |
| affect_products | Object[] | 影響製品 |
| product | Object | 製品 |
| id | Integer | 製品 ID |
| name | String | 製品名 |
| create_datetime | String | 影響製品 登録日時 |
| update_datetime | String | 影響製品 更新日時 |
| removed_affect_products | Object[] | 削除された影響製品 |
| product | Object | 製品 |
| id | Integer | 製品 ID |
| name | String | 製品名 |
| create_datetime | String | 削除された影響製品 登録日時 |
| update_datetime | String | 削除された影響製品 更新日時 |
| affect_product_versions | Object[] | 影響製品バージョン |
| product_version | Object | 製品バージョン |
| id | Integer | 製品バージョン ID |
| product_id | Integer | 製品 ID |
| fullname | String | 製品バージョン名 |
| version | String | 製品バージョン バージョン番号 |
| create_datetime | String | 影響製品バージョン 登録日時 |
| update_datetime | String | 影響製品バージョン 更新日時 |
| removed_affect_product_versions | Object[] | 削除された影響製品バージョン |
| product_version | Object | 製品バージョン |
| id | Integer | 製品バージョン ID |
| product_id | Integer | 製品 ID |
| fullname | String | 製品バージョン名 |
| version | String | 製品バージョン バージョン番号 |
| create_datetime | String | 削除された影響製品バージョン 登録日時 |
| update_datetime | String | 削除された影響製品バージョン 更新日時 |
| affect_packages | Object[] | 影響パッケージ |
| name | String | パッケージ名 |
| version | String | バージョン |
| release | String | リリース |
| arch | String | アーキテクチャ |
| cves | Object[] | CVE |
| cve_id | String | CVE ID |
| cvss2 | Object | CVE の CVSSv2 |
| vector | String | CVSSv2 ベクター文字列 |
| base_score | Number | 基本値 |
| create_datetime | String | CVSSv2 登録日時 |
| update_datetime | String | CVSSv2 更新日時 |
| exploitable | Boolean | 攻撃コード・実証コードの有無 |
| cvss3 | Object | CVE の CVSSv3 |
| vector | String | CVSSv3 ベクター文字列 |
| base_score | Number | 基本値 |
| create_datetime | String | CVSSv3 登録日時 |
| update_datetime | String | CVSSv3 更新日時 |
| exploitable | Boolean | 攻撃コード・実証コードの有無 |
| affected_cve_ids | String[] | この脆弱性に関連するCVE IDのリスト |
| sris | Object[] | SRI |
| category_id | Integer | SRI ホストカテゴリ ID |
| risk_id | Integer | SRI 危険度 ID |
| memo | String | SRI メモ |
| vadb | Object[] | NVD 脆弱性オブジェクト |
| id | String | CVE ID |
| cveTags | String[] | CVEタグ |
| metrics | Object | CVSSメトリクス |
| cvssMetricV2 | Object[] | CVSSv2 メトリクス |
| cvssMetricV3 | Object[] | CVSSv3 メトリクス |
| cvssMetricV4 | Object[] | CVSSv4 メトリクス |
| published | String | CVE 発行日 |
| references | Object[] | 参照情報 |
| url | String | URL |
| tags | String[] | タグ |
| source | String | 情報提供元 |
| vulnStatus | String | 脆弱性のステータス |
| weaknesses | Object[] | 弱点情報 |
| type | String | タイプ |
| source | String | 情報提供元 |
| description | Object[] | 説明 |
| lang | String | 言語 |
| value | String | 内容 |
| descriptions | Object[] | 脆弱性の説明 |
| lang | String | 言語 |
| value | String | 内容 |
| lastModified | String | 最終更新日時 |
| configurations | Object[] | CPE 設定情報 |
| sourceIdentifier | String | CVE 発行元識別子 |
| epss | Number | EPSS値 |
| epss_percentile | Number | EPSSパーセンタイル値 |
レスポンス例
{
"sidfm": [
{
"id": 26077,
"title": "rpcbind, ntirpc および libtirpc の RPC メッセージの処理にサービスを妨害される問題",
"area_id": 3,
"create_datetime": "2017-05-11T19:07:15.428+00:00",
"update_datetime": "2017-06-07T17:58:01.926+00:00",
"short_description": "rpcbind, ntirpc および libtirpc は、RPC メッセージの処理が原因でセキュリティホールが存在します。このセキュリティホールを利用された場合、リモートの攻撃者に細工された RPC メッセージを UDP ポート 111 へ送信されることによって、メモリリソースを浪費されサービスを妨害される可能性があります。",
"risk_id": 2,
"affect_products": [
{
"product": {
"id": 685,
"name": "Amazon Linux AMI",
"versions": [
{
"product_version": {
"id": 6956,
"fullname": "Amazon Linux AMI ALL",
"version": "ALL"
},
"create_datetime": "2017-06-07T17:58:01.926+00:00",
"update_datetime": "2017-06-07T17:58:01.926+00:00"
}
]
}
}
],
"removed_affect_products": [],
"cves": [
{
"cve_id": "CVE-2017-8779",
"cvss2": {
"vector": "AV:N/AC:L/Au:N/C:N/I:N/A:C",
"base_score": 7.8,
"create_datetime": "2017-05-18T08:05:01.860+00:00",
"update_datetime": "2017-05-18T08:05:01.860+00:00",
"exploitable": true
},
"cvss3": {
"vector": "AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
"base_score": 7.5,
"create_datetime": "2017-06-07T17:58:01.926+00:00",
"update_datetime": "2017-06-07T17:58:01.926+00:00",
"exploitable": true
}
}
],
"affected_cve_ids": [
"CVE-2017-8779"
],
"sris": [
{
"category_id": 1,
"risk_id": 2,
"memo": "容易に悪用可能な実証コードが既に公開されています。"
},
{
"category_id": 2,
"risk_id": 1,
"memo": "容易に悪用可能な実証コードが既に公開されています。"
}
]
}
],
"vadb": [
{
"id": "CVE-2019-9169",
"cveTags": [],
"metrics": {
"cvssMetricV2": [
{
"type": "Primary",
"source": "nvd@nist.gov",
"cvssData": {
"version": "2.0",
"baseScore": 7.5,
"accessVector": "NETWORK",
"vectorString": "AV:N/AC:L/Au:N/C:P/I:P/A:P"
}
}
],
"cvssMetricV31": [
{
"type": "Primary",
"source": "nvd@nist.gov",
"cvssData": {
"version": "3.1",
"baseScore": 9.8,
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H",
"baseSeverity": "CRITICAL"
}
}
]
},
"published": "2019-02-26T02:29:00.497",
"references": [
{
"url": "https://sourceware.org/bugzilla/show_bug.cgi?id=24114",
"tags": ["Issue Tracking", "Patch", "Third Party Advisory"],
"source": "cve@mitre.org"
}
],
"vulnStatus": "Modified",
"weaknesses": [
{
"type": "Primary",
"source": "nvd@nist.gov",
"description": [
{
"lang": "en",
"value": "CWE-125"
}
]
}
],
"descriptions": [
{
"lang": "en",
"value": "In the GNU C Library (aka glibc or libc6) through 2.29, proceed_next_node in posix/regexec.c has a heap-based buffer over-read via an attempted case-insensitive regular-expression match."
}
],
"lastModified": "2024-11-21T04:51:07.870",
"configurations": [],
"sourceIdentifier": "cve@mitre.org",
"epss": 0.11071,
"epss_percentile": 0.9312
}
]
}