NIST Overwhelmed by CVE Volume, Shifts to Selective Vulnerability Analysis

The U.S. National Institute of Standards and Technology (NIST) has formally abandoned its practice of fully enriching every CVE (Common Vulnerabilities and Exposures) before adding it to the National Vulnerability Database (NVD). The agency, unable to keep pace with the sheer volume of vulnerabilities, will now prioritize its analysis efforts.

New Prioritization Criteria

NIST will focus its enrichment resources—which include assigning criticality scores, listing affected vendors, adding third-party bulletin references, and linking to available patches—on vulnerabilities that meet specific criteria:

1. Those listed in its Known Exploited Vulnerabilities (KEV) catalog.

2. Those affecting software used by the U.S. federal government.

3. Those impacting software deemed "critical" as defined by President Biden's 2021 Executive Order 14028.

This executive order broadly defines critical software as any that includes, or has direct dependencies on, components with attributes such as: running with elevated privileges, having privileged access to network/computing resources, controlling data or operational technology (OT) access, or performing critical trust functions. An attached list includes categories like identity and access management (IAM), operating systems, hypervisors, web browsers, monitoring, network security, and backup/restoration tools.

End of Automatic Scoring and a Two-Year Buildup

A significant change is that NIST will no longer automatically assign its own criticality scores, even when the CVE Numbering Authorities (CNAs)—often the software vendors themselves—have already done so. While requests for analysis or re-analysis of significantly modified CVEs can be submitted via email, the agency will no longer perform these tasks by default.

This policy shift follows two years of mounting challenges. In spring 2024, NIST first publicly acknowledged a growing backlog, stating it was already prioritizing major vulnerabilities and seeking a long-term solution, such as an industry consortium, with a goal to clear the backlog by autumn. By year's end, it admitted that target was overly optimistic, citing difficulties importing and enriching CVEs due to problematic data formats.

Although a format change in March 2025 allowed NIST to regain its pre-spring 2024 processing rate, the overall volume of CVEs had risen sharply. Shortly after, the agency decided to assign a "deferred" status to unenriched CVEs published before 2018. By early 2026, it outlined the new policy now made official, framing it as a way to "stabilize" the NVD program while it works to "improve processes" and "develop automated systems."

Downstream Impacts and Broader Pressures

The change will affect downstream security tools that rely on NVD data, including many SIEMs, pentesting tools, and vulnerability scanners. The lack of systematic NIST validation for criticality scores raises concerns, given that some vendors acting as CNAs might be incentivized to downplay flaws in their own products.

NIST is operating under budget constraints during the Trump administration, facing criticism in Washington for its "radical climate agenda," exemplified by a circular economy program accused of using university grants to promote "environmental alarmism."

The CVE program itself, managed by the non-profit MITRE, has also faced funding instability. Its last-minute refinancing by the U.S. government highlighted parallel EU efforts to develop alternative systems like the Global CVE Allocation System (GCVE) and the EU Vulnerability Database (EUVD).

Rattrapé par le volume de CVE, le NIST ne promet plus de les enrichir toutes avant de les intégrer à la NVD (National Vulnerability Database).

L’agence gouvernementale américaine va prioriser certaines vulnérabilités. En l’occurrence, celles qui :

Apparaissent dans son catalogue KEV (vulnérabilités exploitées)

Affectent des logiciels qu’utilise le gouvernement fédéral

Touchent des logiciels « critiques » selon la définition qu’en donne le décret présidentiel no 14028 de 2021

Ce décret définit comme tel tout logiciel qui inclut – ou a des dépendances directes envers – un ou plusieurs composants ayant au moins un des attributs suivants :

Conçu pour fonctionner avec des privilèges élevés ou pour gérer des privilèges

Dispose d’un accès direct ou privilégié aux ressources réseau ou de calcul

Conçu pour contrôler l’accès aux données ou à l’OT

Assure une fonction de confiance critique ou opère en dehors des limites de confiance normales avec un accès à privilèges

Une liste est annexée au décret. Elle vise assez large. Entre autres : IAM, OS, hyperviseurs, navigateurs web, monitoring, sécurisation du réseau et sauvegarde/restauration.

Jusque-là, le NIST attribuait systématiquement un score de criticité, même si les autorités de numérotation CVE l’avaient déjà fait. Ce ne sera plus le cas. Des demandes pourront toutefois lui être faites par e-mail. Même chose pour la réanalyse de CVE enrichies et ensuite modifiées. Par défaut, l’agence n’y procédera plus que si elle a connaissance d’une modification « sensiblement impactante ».

Il y a 2 ans, les premiers signaux

Au-delà du score de criticité, l’enrichissement des CVE apporte notamment des listes des éditeurs concernés, des renvois vers des bulletins tiers et des liens vers les correctifs disponibles.

Au printemps 2024, le NIST avait commencé à communiquer ouvertement sur l’accumulation des vulnérabilités à traiter. Il affirmait déjà prioriser les plus importantes. Et chercher une solution à long terme, comme la mise en place d’un consortium industriel. L’objectif était alors d’avoir écoulé le backlog pour l’automne.

En fin d’année, l’agence avait admis que cet objectif était trop optimiste. Elle avait invoqué, en particulier, la réception des CVE dans un format difficile à importer et à améliorer.

En mars 2025, ce format modifié, le NIST avait assuré avoir retrouvé son rythme d’avant le printemps 2024. Sauf que dans le même temps, le volume de CVE avait nettement augmenté…

Quelques semaines plus tard, il fut finalement décidé d’attribuer le statut « différé » aux CVE en attente publiées avant 2018. Un indicateur du fait qu’elles ne seraient plus prioritaires pour l’enrichissement.

Début 2026, l’agence avait esquissé les grandes lignes de ce qui est désormais officiellement sa nouvelle politique. Elle y voit une façon de « stabiliser » le programme NVD, le temps « d’améliorer les processus » et de « développer des systèmes automatisés ».

Le NIST sous pression budgétaire… comme le programme CVE

Cette évolution aura des conséquences en aval, sur les solutions qui exploitent la NVD. Parmi eux, nombre de SIEM, d’outils de pentest et de scanners de vulnérabilités.

L’absence de « caution NIST » systématique sur les scores de criticité peut poser question si on considère que certains éditeurs sont autorités de numérotation… et pourraient être tentés de minimiser l’importance de vulnérabilités dans leurs logiciels.

Sous la présidence de Donald Trump, l’agence évolue à budget réduit. Elle est dans le collimateur de Washington pour son « agenda climatique radical ». Emblème : son programme économie circulaire, qui se nourrirait de subventions universitaires pour promouvoir un « alarmisme environnemental ».

Le programme CVE, que gère l’organisation à but non lucratif MITRE, a lui aussi été un temps en danger. Son refinancement in extremis par le gouvernement US avait mis en lumière les travaux de l’Union européenne sur le programme alternatif GCVE (Global CVE Allocation System) et l’EUVD (EU Vulnerability Database).

Illustration générée par IA

The post Le NIST ne peut plus suivre le rythme des CVE appeared first on Silicon.fr.