El NIST recorta el enriquecimiento de CVE en la NVD: por qué te afecta

El NIST ha confirmado una reducción en el enriquecimiento de vulnerabilidades en la National Vulnerability Database (NVD): un porcentaje creciente de CVE se publica sin las métricas completas —puntuación CVSS, categoría CWE o listas CPE de productos afectados— de las que dependen miles de herramientas de seguridad.

El problema

La NVD es la columna vertebral de la gestión de vulnerabilidades moderna. Escáneres, SIEM y plataformas de priorización consumen sus datos enriquecidos para:

  • Calcular criticidad a partir del vector CVSS.
  • Correlacionar un CVE con los productos y versiones afectados (CPE).
  • Clasificar la clase de debilidad (CWE) para agrupar y remediar.

Ante el volumen creciente de CVE y las limitaciones de recursos, el NIST está priorizando qué vulnerabilidades enriquece por completo. La consecuencia práctica es un retraso o ausencia de métricas en parte del catálogo, lo que degrada la automatización que asume que "todo CVE viene con CVSS y CPE".

Esto no es una vulnerabilidad técnica, sino un riesgo operativo: los equipos que priorizan solo por la puntuación de la NVD pueden infravalorar fallos críticos que aún no han sido enriquecidos.

Recomendaciones inmediatas

  • No dependas de una única fuente: complementa la NVD con avisos de fabricante, CISA KEV (explotación activa) y feeds como EPSS (probabilidad de explotación).
  • Ajusta tus flujos para tratar los CVE sin CVSS como "pendientes de análisis", no como "baja prioridad".
  • Prioriza por explotación real (KEV/EPSS) por encima de la puntuación teórica cuando falten datos.

¿Cómo lo aborda DefensOps?

DefensOps no depende exclusivamente del enriquecimiento de la NVD para priorizar:

  • Correlaciona vulnerabilidades con CISA KEV y feeds de threat intelligence propios para elevar lo que se explota de verdad, aunque la NVD aún no lo haya puntuado.
  • El módulo de vulnerabilidades cruza los CVE con el inventario real de activos del tenant, de modo que la priorización refleja tu exposición, no solo un número global.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: Dark Reading