42% уязвимостей CVE не хватает критически значимых данных

В каталоге известных уязвимостей (CVE) из Национальной базы данных уязвимостей (NVD) имеются серьезные проблемы с полнотой представленной информации. Исследования показали, что данные публикуются с серьезными пробелами и задержками.

Как уточняет Morphisec, с 12 февраля 2024 года NVD почти полностью остановила обновление информации об уязвимостях. В результате 42% имеющихся в CVE проблем безопасности не хватает оценки по CVSS, перечня уязвимых продуктов и версий или другой значимой информации.

Отсутствие регулярного обновления информации об уязвимостях существенно ухудшает положение компаний, которые привыкли полагаться на NVD в вопросах приоритизации и  исправления выявленных проблем. По сути они остаются в неведении относительно масштаба риска и уровня срочности возникших новых брешей.