La Base de datos nacional de vulnerabilidades ( NVD ) es el depósito del gobierno de EE. UU. de datos de gestión de vulnerabilidades basados en estándares representados mediante el Protocolo de automatización de contenidos de seguridad (SCAP). Estos datos permiten la automatización de la gestión de vulnerabilidades, la medición de la seguridad y el cumplimiento. NVD incluye bases de datos de listas de verificación de seguridad, fallas de software relacionadas con la seguridad, configuraciones incorrectas, nombres de productos y métricas de impacto. NVD apoya el Programa de Automatización de Seguridad de la Información (ISAP).
El viernes 8 de marzo de 2013, la base de datos se desconectó después de que se descubrió que el sistema utilizado para ejecutar varios sitios gubernamentales había sido comprometido por una vulnerabilidad de software de Adobe ColdFusion . [1] [2]
En junio de 2017, la empresa de inteligencia sobre amenazas Recorded Future reveló que el retraso medio entre la revelación de un CVE y su publicación final en el NVD es de 7 días y que el 75 % de las vulnerabilidades se publican de forma no oficial antes de llegar al NVD, lo que da a los atacantes tiempo para explotar. la vulnerabilidad. [3]
Además de proporcionar una lista de vulnerabilidades y exposiciones comunes (CVE), el NVD puntúa las vulnerabilidades utilizando el sistema de puntuación de vulnerabilidad común (CVSS) [4] , que se basa en un conjunto de ecuaciones que utilizan métricas como la complejidad del acceso y la disponibilidad de una solución. . [5]
En agosto de 2023, NVD marcó erróneamente un error de desbordamiento de enteros en versiones antiguas de cURL como una vulnerabilidad crítica de 9,8 sobre 10. El desarrollador principal de cURL, Daniel Stenberg, respondió diciendo que esto no era un problema de seguridad, que el error había sido parcheado casi 4 años antes, solicitó que se rechazara el CVE y acusó a NVD de "alarmismo" e "inflar enormemente el nivel de gravedad de los problemas". [6] MITRE no estuvo de acuerdo con Stenberg y negó su solicitud de rechazar el CVE, señalando que "hay una debilidad válida... que puede conducir a un impacto válido en la seguridad". [7] En septiembre de 2023, NVD reclasificó el problema como una vulnerabilidad 3.3 "baja", afirmando que "puede (en teoría) causar una denegación de servicio" para los sistemas atacados, pero que este vector de ataque "no es especialmente plausible". [8]
{{cite web}}
: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )