- NIST cambia el proceso de enriquecimiento para la base de datos nacional de vulnerabilidad debido al aumento en los envíos de CVE
- Aumento del 263% desde 2020; Las entradas KEV bajo EO 14028, el software federal y el software crítico ahora tienen prioridad
- Otros CVE se consideran de “prioridad más baja”, pero los usuarios pueden solicitar mejoras por correo electrónico si es necesario.
El número de vulnerabilidades reportadas ha aumentado tan dramáticamente que ha obligado al Instituto Nacional de Estándares y Tecnología (NIST) a cambiar la forma en que “enriquece” cada entrada.
Hasta ahora, el NIST tomaba un registro CVE básico y agregaba análisis estructural para hacerlo más procesable en la Base de datos nacional de vulnerabilidad (NVD). Por lo general, esto incluye puntuación de gravedad (CVSS), productos afectados (CPE), clasificación de vulnerabilidad (CWE) y metadatos adicionales.
Sin embargo, entre 2020 y 2025, las presentaciones de CVE aumentaron en un 263%, dijo el NIST, y agregó que no espera que la tendencia se detenga pronto. “Las presentaciones en los primeros tres meses de 2026 son casi un tercio más altas que en el mismo período del año pasado”, dijo.
El artículo continúa a continuación.
Preferencia dada a los afiliados a KEV
Para poder mantenerse al día con la creciente demanda, el NIST está estableciendo estándares específicos. Los depósitos que los cumplan se enriquecerán lo antes posible, mientras que aquellos que no los cumplan tendrán que esperar. El NIST no ha dicho que no enriquecerá en absoluto estos envíos de “prioridad más baja”, pero si la agencia se ve inundada con nuevas entradas todos los días, es seguro asumir que muchos nunca estarán cubiertos.
A partir del 15 de abril, NIST dijo que dará prioridad a los CVE que aparecen en el catálogo de vulnerabilidades explotables conocidas (KEV) de CISA, los CVE para el software utilizado dentro del gobierno federal y los CVE para el software crítico según lo definido por la Orden Ejecutiva 14028.
Todo lo demás se considerará la “prioridad más baja”, pero el NIST dice que eso no significa que otros CVE no tendrán un impacto significativo en los sistemas afectados.
“Es posible que estos criterios no capturen todos los CVE potenciales de alto impacto”, advirtió. “Por lo tanto, los usuarios pueden solicitar el enriquecimiento de cualquiera de los CVE de menor prioridad enviándonos un correo electrónico a nvd@nist.gov. Revisaremos esas solicitudes y determinaremos los CVE para el enriquecimiento según lo permitan los recursos”.
La definición completa de software crítico y los detalles del nuevo flujo de trabajo se pueden encontrar en esta página.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
