من می خواهم ساختار CVE را بهتر درک کنم.

(به عنوان مثال) در CVE-2018-19081 ، آسیب پذیر_ محصولات نام محصول Opticam i5 . مانند این:

 "آسیب پذیر_محصولات": [
    "cpe:2.3:o:opticam:i5_application_firmware:2.21.1.128:*:*:*:*:*:*:*",
    "cpe:2.3:o:opticam:i5_system_firmware:1.5.2.11:*:*:*:*:*:*:*"
] ،

اما گره های پیکربندی همچنین به محصول Foscam c2 اشاره می کنند. مانند:

 "بچه ها": [
                {
                    "operator": "OR",
                    "cpe_match": [
                        {
                            "cpe23Uri": "cpe:2.3:o:foscam:c2_application_firmware:2.72.1.32:*:*:*:*:*:*:*",
                            "vulnerable": true
                        },
                        {
                            "cpe23Uri": "cpe:2.3:o:foscam:c2_system_firmware:1.11.1.8:*:*:*:*:*:*:*",
                            "vulnerable": true
                        }
                    ]
                ،
                {
                    "عملگر": "یا" ،
                    "cpe_match": [
                        {
                            "cpe23Uri": "cpe:2.3:h:foscam:c2:-:*:*:*:*:*:*:*",
                            "vulnerable": false
                        }
                    ]
                }
            ]

بنابراین چرا c2 در vunerable_products ذکر نشده است و چرا در پیکربندی ذکر شده است؟

من CVE های زیادی را دیده ام که در پیکربندی آنها از محصولاتی که در این زمینه از دست می روند آسیب پذیر است.