https://www.informationsecurity.com.tw/seminar/2026_GOV/

新聞

美國NIST 縮減 CVE 漏洞深度分析,覆蓋缺口與評分偏差持續擴大

2026 / 07 / 03
編輯部
美國NIST 縮減 CVE 漏洞深度分析,覆蓋缺口與評分偏差持續擴大
美國國家標準與技術研究院(NIST)自今年 4 月起大幅縮減對漏洞資料庫(NVD)中通用漏洞揭露(CVE)的深度分析數量,並將資源集中於已遭利用或與聯邦政府產品相關的漏洞。然而,資安新創公司 Volerion 分析其後兩個月的資料後發現,這項調整帶來了值得關注的副作用。

覆蓋缺口與分析延遲

Volerion 分析 2026 年 4 月 15 日至 6 月 15 日期間發布至 NVD 的 13,441 個已接受 CVE 後發現,逾半數(8,342 個)被 NIST 列為深度分析的優先對象,但實際完成分析的僅有 6,759 個,仍有 1,583 個已發布的 CVE 尚未被分析。此外,取得 NIST 提供的通用漏洞評分系統(CVSS)向量的漏洞僅有 2,645 個。

Volerion 共同創辦人 Karel Knibbe 指出,每逢每週發布的 CVE 數量出現高峰,分析瓶頸便會浮現。隨著漏洞回報數量持續攀升,如微軟今年6月創下單次 Patch Tuesday 發布 206 個 CVE 的紀錄,NIST 進度落後的情況預計將進一步惡化。

評分不準確問題

對於未獲 NIST 分析的 CVE,用戶只能依賴各 CVE 編號機構(CVE Numbering Authority,CNA)提供的評分。CNA 由資安公司、科技廠商等獲授權發布 CVE 的組織組成,目前已超過 500 家。Volerion 共同創辦人 Ruben Bos 指出,CNA 的評分有時會出現偏差:資安公司可能為提高漏洞獎勵金或行銷目的而誇大嚴重性;科技廠商則可能刻意壓低自家產品漏洞的評分。此外,多個 CNA 可能針對同一漏洞同時發布 CVE 與 CVSS 評分,導致重複登錄、分析結論衝突,甚至引發揭露爭議。

Volerion 也發現,NIST 自身的分析同樣存在準確性問題。其中最常見的分歧出現在攻擊複雜度:在約三分之一的案例中,NIST 將漏洞標記為低複雜度(AC:L),但 Volerion 的評估則為高複雜度(AC:H)。研究人員指出,NIST 的分析常忽略漏洞利用可能需要特定權限或使用者互動等情境

Volerion 舉出一個差異顯著的案例:IBM HTTP Server 8.5 與 9.0 的阻斷服務漏洞 CVE-2026-8856,NIST 評定為 CVSS 9.1 的重大等級;IBM 則評定為 CVSS 7.7 的中等等級。Volerion 依據攻擊向量、所需權限等多項條件重新評估後,認為其 CVSS 僅 4.4。Bos 也補充,評分過低的案例同樣存在;根本問題在於相互衝突的評估結果,會讓組織對漏洞的嚴重性與技術性質產生混淆。

結構性問題難以根治

Knibbe 指出,NIST 篩選優先分析 CVE 的機制可能高度仰賴自動化,並從 CISA「已知遭利用漏洞」(KEV)目錄等來源擷取資料;然而,CISA 目錄本身也可能出現遺漏、提前新增,以及更新資訊不夠透明等問題。他形容目前的整體現況是「以不良層次堆疊在不良基礎之上」。

在可行的因應措施方面,Volerion 正協助 CISA 推動 Vulnrichment 專案:一個公開的 GitHub 儲存庫,供 CISA 對 CVE 進行深度分析。Volerion 也發布了相容於 NVD 的 CVE API,提供 CVSS 3.1 與 CVSS 4.0 向量及其他情境資料。

延伸閱讀:美國聯邦新版資安指令上路,業界:三天完成鑑識調查才是真正難關

Knibbe 與 Bos 建議,各組織應建立不僅依賴 CVE 嚴重性等級與 CVSS 分數的漏洞優先排序機制,而是整合所有可用的向量、指標與分析資料,建立符合自身需求的決策框架。

本文轉載自 DarkReading。