Почему сканер уязвимостей внезапно «подобрел»? Разгадка в CVSS v4
NewsMakerСтатистика CVE показывает спад доли критических проблем, даже когда уязвимостей становится всё больше.
За последние годы многим стало казаться, что «критических» уязвимостей по CVSS становится больше, но анализ публичных данных рисует другую картину: абсолютное число CVE растёт, а доля Critical среди них заметно снижается. Автор исследования собрал агрегированные данные VulnCheck из нескольких публичных источников (включая NIST NVD, CISA, CVE Numbering Authorities и бюллетени вендоров) и для каждой опубликованной CVE выбирал один балл — по самой свежей версии CVSS, которая была доступна на момент публикации записи.
Если разложить уязвимости по годам и уровням серьёзности, то объём CVE, попадающих в категорию Critical, в целом выглядит довольно стабильным на протяжении последних четырёх лет, а в 2024 и 2025 годах даже заметен небольшой спад. На этом фоне резко прибавили «середняки» и «низкие» оценки: уязвимостей в целом стало существенно больше, но пропорционально меньше тех, что получают Critical и High. При этом автор отдельно оговаривает, что на момент подсчёта до конца 2025 года оставалось около трёх недель, и итоговые числа ещё могли измениться.
Дальше возник логичный вопрос: не связано ли небольшое снижение Critical с постепенным внедрением CVSS v4 , который публично доступен примерно два года. Сопоставление распределения серьёзности по версиям CVSS показало заметный сдвиг: в v4 доля оценок Critical и High выглядит ниже, чем в v3 и v3.1.
Однако при более внимательном разборе выяснилось, что набор CVE с оценками CVSS v4 сильно перекошен по происхождению: 49% таких записей опубликованы VulDB, и этот вклад непропорционально влияет на общую картину по v4. Когда CVE от VulDB исключили, распределение серьёзности стало гораздо ближе к тому, что видно в v3 и v3.1. Ключевым отличием в практике VulDB автор называет последовательное выставление метрик Subsequent System Impact в значение None (N): такое решение, возможно, продиктовано ограниченной видимостью вторичных эффектов или сложностями автоматизации, но в любом случае оно системно снижает итоговые баллы CVSS v4 почти для всех затронутых CVE.
За последние годы многим стало казаться, что «критических» уязвимостей по CVSS становится больше, но анализ публичных данных рисует другую картину: абсолютное число CVE растёт, а доля Critical среди них заметно снижается. Автор исследования собрал агрегированные данные VulnCheck из нескольких публичных источников (включая NIST NVD, CISA, CVE Numbering Authorities и бюллетени вендоров) и для каждой опубликованной CVE выбирал один балл — по самой свежей версии CVSS, которая была доступна на момент публикации записи.
Если разложить уязвимости по годам и уровням серьёзности, то объём CVE, попадающих в категорию Critical, в целом выглядит довольно стабильным на протяжении последних четырёх лет, а в 2024 и 2025 годах даже заметен небольшой спад. На этом фоне резко прибавили «середняки» и «низкие» оценки: уязвимостей в целом стало существенно больше, но пропорционально меньше тех, что получают Critical и High. При этом автор отдельно оговаривает, что на момент подсчёта до конца 2025 года оставалось около трёх недель, и итоговые числа ещё могли измениться.
Дальше возник логичный вопрос: не связано ли небольшое снижение Critical с постепенным внедрением CVSS v4 , который публично доступен примерно два года. Сопоставление распределения серьёзности по версиям CVSS показало заметный сдвиг: в v4 доля оценок Critical и High выглядит ниже, чем в v3 и v3.1.
Однако при более внимательном разборе выяснилось, что набор CVE с оценками CVSS v4 сильно перекошен по происхождению: 49% таких записей опубликованы VulDB, и этот вклад непропорционально влияет на общую картину по v4. Когда CVE от VulDB исключили, распределение серьёзности стало гораздо ближе к тому, что видно в v3 и v3.1. Ключевым отличием в практике VulDB автор называет последовательное выставление метрик Subsequent System Impact в значение None (N): такое решение, возможно, продиктовано ограниченной видимостью вторичных эффектов или сложностями автоматизации, но в любом случае оно системно снижает итоговые баллы CVSS v4 почти для всех затронутых CVE.