🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Instituto Nacional de Padrões e Tecnologia deixará de atribuir pontuações de gravidade a vulnerabilidades de prioridade mais baixa devido à crescente carga de trabalho proveniente do aumento dos volumes de envio.
A partir de 15 de abril, o serviço analisará e fornecerá apenas detalhes adicionais (por exemplo, classificação de gravidade, listas de produtos) para problemas de segurança que atendam a critérios específicos relacionados ao risco que representam.
O Banco de Dados Nacional de Vulnerabilidades (NVD) ainda listará todas as vulnerabilidades enviadas, mas aquelas consideradas de baixa prioridade terão uma classificação de gravidade apenas da Autoridade de Numeração CVE (CNA) que as avaliou e enviou.
Em anúncio esta semana, a agência federal não regulamentadora disse que fornecerá apenas detalhes adicionais para vulnerabilidades que atendam a um dos seguintes critérios:
estão no catálogo de vulnerabilidades exploradas conhecidas (KEV) da CISA
afetar o software do governo federal dos EUA
envolvem software crítico de acordo com a Ordem Executiva 14028
O NIST explicou que a decisão foi motivada pelo grande número de submissões, que cresceu 263% recentemente e continuou a acelerar em 2026. A organização enriqueceu 42.000 CVEs em 2025, mas já não consegue acompanhar o volume crescente.
O NIST NVD é um banco de dados público e centralizado de vulnerabilidades conhecidas de software e hardware, que também fornece descrições e análises adicionais além dos identificadores exclusivos (IDs CVE) atribuídos por CNAs, como fornecedores e a organização sem fins lucrativos The MITRE Corporation.
O objetivo de enriquecer os detalhes da vulnerabilidade é tornar as entradas CVE utilizáveis para gerenciamento de riscos, incluindo atribuição de pontuações de gravidade, identificação de versões de produtos afetadas, classificação de pontos fracos e fornecimento de links para avisos, patches ou pesquisas relacionadas.
O NIST NVD é usado universalmente por pesquisadores de segurança, fornecedores de software, agências governamentais, profissionais de TI, jornalistas e usuários regulares que buscam mais informações sobre um problema de segurança específico.
"Todos os CVEs enviados ainda serão adicionados ao NVD. No entanto, aqueles que não atenderem aos critérios acima serão categorizados como "Não agendados", explica o NIST.
“Isso nos permitirá focar nos CVEs com maior potencial de impacto generalizado. Embora os CVE que não cumpram estes critérios possam ter um impacto significativo nos sistemas afetados, geralmente não apresentam o mesmo nível de risco sistémico que os das categorias priorizadas.”
O NIST admite que as novas regras permitem a passagem de alguns CVE potencialmente de alto impacto. Por esta razão, a agência aceita pedidos de enriquecimento para "quaisquer CVEs de prioridade mais baixa" através de mensagens de e-mail em ‘nvd@nist.gov.’
A falta de enriquecimento ou atrasos notáveis eram perceptíveis desde 2024, mas a organização declarou agora formalmente que se concentrará nas entradas mais importantes.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
A partir de 15 de abril, o serviço analisará e fornecerá apenas detalhes adicionais (por exemplo, classificação de gravidade, listas de produtos) para problemas de segurança que atendam a critérios específicos relacionados ao risco que representam.
O Banco de Dados Nacional de Vulnerabilidades (NVD) ainda listará todas as vulnerabilidades enviadas, mas aquelas consideradas de baixa prioridade terão uma classificação de gravidade apenas da Autoridade de Numeração CVE (CNA) que as avaliou e enviou.
Em anúncio esta semana, a agência federal não regulamentadora disse que fornecerá apenas detalhes adicionais para vulnerabilidades que atendam a um dos seguintes critérios:
estão no catálogo de vulnerabilidades exploradas conhecidas (KEV) da CISA
afetar o software do governo federal dos EUA
envolvem software crítico de acordo com a Ordem Executiva 14028
O NIST explicou que a decisão foi motivada pelo grande número de submissões, que cresceu 263% recentemente e continuou a acelerar em 2026. A organização enriqueceu 42.000 CVEs em 2025, mas já não consegue acompanhar o volume crescente.
O NIST NVD é um banco de dados público e centralizado de vulnerabilidades conhecidas de software e hardware, que também fornece descrições e análises adicionais além dos identificadores exclusivos (IDs CVE) atribuídos por CNAs, como fornecedores e a organização sem fins lucrativos The MITRE Corporation.
O objetivo de enriquecer os detalhes da vulnerabilidade é tornar as entradas CVE utilizáveis para gerenciamento de riscos, incluindo atribuição de pontuações de gravidade, identificação de versões de produtos afetadas, classificação de pontos fracos e fornecimento de links para avisos, patches ou pesquisas relacionadas.
O NIST NVD é usado universalmente por pesquisadores de segurança, fornecedores de software, agências governamentais, profissionais de TI, jornalistas e usuários regulares que buscam mais informações sobre um problema de segurança específico.
"Todos os CVEs enviados ainda serão adicionados ao NVD. No entanto, aqueles que não atenderem aos critérios acima serão categorizados como "Não agendados", explica o NIST.
“Isso nos permitirá focar nos CVEs com maior potencial de impacto generalizado. Embora os CVE que não cumpram estes critérios possam ter um impacto significativo nos sistemas afetados, geralmente não apresentam o mesmo nível de risco sistémico que os das categorias priorizadas.”
O NIST admite que as novas regras permitem a passagem de alguns CVE potencialmente de alto impacto. Por esta razão, a agência aceita pedidos de enriquecimento para "quaisquer CVEs de prioridade mais baixa" através de mensagens de e-mail em ‘nvd@nist.gov.’
A falta de enriquecimento ou atrasos notáveis eram perceptíveis desde 2024, mas a organização declarou agora formalmente que se concentrará nas entradas mais importantes.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #nist #interromperá #a #classificação #de #falhas #não #prioritárias #devido #ao #aumento #de #volume
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário