文章总结： NIST因漏洞提交量激增263%无法处理全部CVE条目，自2026年4月15日起仅对符合特定风险的漏洞提供严重程度评级等详细信息，包括列入CISAKEV目录、影响联邦政府软件或涉及关键软件的漏洞。其他漏洞仍收录于NVD但标记为未安排评估，允许通过邮件申请补充信息。此举旨在集中资源处理系统性高风险漏洞。 综合评分： 74 文章分类： 漏洞分析,漏洞预警,政策法规,安全运营,威胁情报

【安全圈】因漏洞数量激增，NIST 将停止评估非优先级漏洞评级

安全圈

2026年4月20日 19:01 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

由于提交的漏洞数量不断增加，导致工作量日益繁重，美国国家标准与技术研究院（NIST）将停止对低优先级漏洞评定严重程度分数。

从 4 月 15 日起，该机构的相关服务仅针对符合特定风险标准的安全问题进行分析，并提供额外详细信息（如严重程度评级、受影响产品列表等）。

美国国家漏洞数据库（NVD）仍将列出所有提交的漏洞，但那些被视为低优先级的漏洞，其严重程度评级将仅采用最初评估并提交该漏洞的 CVE 编号机构（CNA）给出的评级。

在本周的一份公告中，这家非监管性联邦机构表示，仅会为符合以下标准之一的漏洞提供额外详细信息：

• 被列入美国网络安全和基础设施安全局（CISA）的已知被利用漏洞（KEV）目录；
• 影响美国联邦政府软件；
• 涉及行政命令 14028 规定的关键软件。

NIST 解释称，做出这一决定是因为提交的漏洞数量庞大。近期漏洞提交量增长了 263%，且在 2026 年仍在加速增长。2025 年，该机构充实了 42000 个通用漏洞披露（CVE）信息，但如今已无法跟上不断增加的数量。

NIST 的 NVD 是一个公开的、集中的已知软件和硬件漏洞数据库，除了由 CNA（如软件供应商和非营利组织 MITRE 公司）分配的唯一标识符（CVE 编号）外，它还提供额外的描述和分析。

充实漏洞详细信息的目的是让 CVE 条目能够用于风险管理，包括评定严重程度分数、确定受影响的产品版本、对漏洞弱点进行分类，以及提供相关公告、补丁或研究的链接。

NVD 被安全研究人员、软件供应商、政府机构、信息技术专业人员、记者以及寻求特定安全问题更多信息的普通用户广泛使用。

NIST 解释说：“所有提交的 CVE 仍将添加到 NVD 中。然而，不符合上述标准的 CVE 将被归类为‘未安排评估’。”

“这将使我们能够专注于那些最有可能产生广泛影响的 CVE。虽然不符合这些标准的 CVE 可能对受影响系统有重大影响，但总体而言，它们带来的系统性风险与优先类别中的 CVE 不同。”

NIST 承认，新规则可能会使一些潜在高影响的 CVE 被遗漏。因此，该机构接受通过发送电子邮件至‘[email protected]’，对 “任何最低优先级 CVE” 提出充实信息的请求。

自 2024 年起，NVD 充实信息的缺失或显著延迟就已较为明显，但该机构如今正式宣布将重点关注最重要的条目。

END

阅读推荐

【安全圈】泄露的Windows Defender 0Day漏洞正遭活跃利用

【安全圈】Windows截图工具漏洞可导致攻击者通过网络实施欺骗攻击

【安全圈】白宫拟向联邦机构开放Anthropic的Claude Mythos漏洞挖掘AI访问权限

【安全圈】IPv8草案发布，互联网迎来重大变革！100%兼容IPv4

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】因漏洞数量激增，NIST 将停止评估非优先级漏洞评级》