Institut Standar dan Teknologi Nasional akan berhenti memberikan skor tingkat keparahan pada kerentanan dengan prioritas lebih rendah karena meningkatnya beban kerja akibat meningkatnya volume pengajuan.
Mulai tanggal 15 April, layanan hanya akan menganalisis dan memberikan rincian tambahan (misalnya, peringkat tingkat keparahan, daftar produk) untuk masalah keamanan yang memenuhi kriteria spesifik terkait dengan risiko yang ditimbulkannya.
Basis Data Kerentanan Nasional (NVD) masih akan mencantumkan semua kerentanan yang disampaikan, namun kerentanan yang dianggap berprioritas rendah akan memiliki peringkat tingkat keparahan hanya dari CVE Numbering Authority (CNA) yang mengevaluasi dan menyerahkannya.
Dalam pengumumannya minggu ini, badan federal non-regulasi mengatakan mereka hanya akan memberikan rincian tambahan untuk kerentanan yang memenuhi salah satu kriteria berikut:
- ada dalam katalog Kerentanan Eksploitasi yang Diketahui (KEV) CISA
- mempengaruhi perangkat lunak pemerintah federal AS
- melibatkan perangkat lunak penting sesuai Perintah Eksekutif 14028
NIST menjelaskan bahwa keputusan tersebut didorong oleh besarnya jumlah pengajuan, yang baru-baru ini tumbuh sebesar 263% dan terus meningkat pada tahun 2026. Organisasi ini memperkaya 42.000 CVE pada tahun 2025, namun tidak dapat lagi mengimbangi peningkatan volume tersebut.
NIST NVD adalah database publik dan terpusat mengenai kerentanan perangkat lunak dan perangkat keras yang diketahui, yang juga memberikan deskripsi dan analisis tambahan selain pengidentifikasi unik (ID CVE) yang ditetapkan oleh CNA, seperti vendor dan organisasi nirlaba The MITER Corporation.
Tujuan dari memperkaya rincian kerentanan adalah membuat entri CVE dapat digunakan untuk manajemen risiko, termasuk menetapkan skor tingkat keparahan, mengidentifikasi versi produk yang terkena dampak, mengklasifikasikan kelemahan, dan menyediakan tautan ke saran, patch, atau penelitian terkait.
NIST NVD digunakan secara universal oleh peneliti keamanan, vendor perangkat lunak, lembaga pemerintah, profesional TI, jurnalis, dan pengguna biasa yang mencari informasi lebih lanjut tentang masalah keamanan tertentu.
“Semua CVE yang diajukan akan tetap ditambahkan ke NVD. Namun, yang tidak memenuhi kriteria di atas akan dikategorikan “Tidak Dijadwalkan,” jelas NIST.
“Hal ini akan memungkinkan kita untuk fokus pada CVE yang memiliki potensi dampak luas yang paling besar. Meskipun CVE yang tidak memenuhi kriteria ini mungkin mempunyai dampak yang signifikan terhadap sistem yang terkena dampak, namun secara umum CVE tersebut tidak menimbulkan tingkat risiko sistemik yang sama dengan kategori yang diprioritaskan.”
NIST mengakui bahwa peraturan baru ini memungkinkan beberapa CVE yang berpotensi berdampak tinggi lolos. Karena alasan ini, badan tersebut menerima permintaan pengayaan untuk “CVE dengan prioritas terendah” melalui pesan email di ‘nvd@nist.gov.’
Kurangnya pengayaan atau penundaan yang signifikan sudah terlihat sejak tahun 2024, namun organisasi tersebut kini telah secara resmi menyatakan bahwa mereka akan fokus pada entri yang paling penting.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
