Почему сканер уязвимостей внезапно «подобрел»? Разгадка в CVSS v4

За последние годы многим стало казаться, что «критических» уязвимостей по CVSS становится больше, но анализ публичных данных рисует другую картину: абсолютное число CVE растёт, а доля Critical среди них заметно снижается. Автор исследования собрал агрегированные данные VulnCheck из нескольких публичных источников (включая NIST NVD, CISA, CVE Numbering Authorities и бюллетени вендоров) и для каждой опубликованной CVE выбирал один балл — по самой свежей версии CVSS, которая была доступна на момент публикации записи.

Если разложить уязвимости по годам и уровням серьёзности, то объём CVE, попадающих в категорию Critical, в целом выглядит довольно стабильным на протяжении последних четырёх лет, а в 2024 и 2025 годах даже заметен небольшой спад. На этом фоне резко прибавили «середняки» и «низкие» оценки: уязвимостей в целом стало существенно больше, но пропорционально меньше тех, что получают Critical и High. При этом автор отдельно оговаривает, что на момент подсчёта до конца 2025 года оставалось около трёх недель, и итоговые числа ещё могли измениться.

Дальше возник логичный вопрос: не связано ли небольшое снижение Critical с постепенным внедрением CVSS v4, который публично доступен примерно два года. Сопоставление распределения серьёзности по версиям CVSS показало заметный сдвиг: в v4 доля оценок Critical и High выглядит ниже, чем в v3 и v3.1.

Однако при более внимательном разборе выяснилось, что набор CVE с оценками CVSS v4 сильно перекошен по происхождению: 49% таких записей опубликованы VulDB, и этот вклад непропорционально влияет на общую картину по v4. Когда CVE от VulDB исключили, распределение серьёзности стало гораздо ближе к тому, что видно в v3 и v3.1. Ключевым отличием в практике VulDB автор называет последовательное выставление метрик Subsequent System Impact в значение None (N): такое решение, возможно, продиктовано ограниченной видимостью вторичных эффектов или сложностями автоматизации, но в любом случае оно системно снижает итоговые баллы CVSS v4 почти для всех затронутых CVE.

Отдельно автор оценил, насколько широко CVSS v4 вообще используется в свежих записях. Более чем через два года после публикации спецификации CVSS v4 только 25,9% из 43 002 CVE, опубликованных в 2025 году, были дополнены оценкой v4. Всего нашлось 232 разных источника, которые публиковали или обогащали записи CVE данными CVSS v4, но при этом крупнейшие «исторические» поставщики обогащения, включая NIST NVD и CISA ADP, почти не добавляют v4-баллы.

Чтобы показать масштаб разрыва, автор посмотрел, кто выставляет оценки в больших объёмах, но при этом не использует v4 в 2025 году. Среди таких источников — CISA-ADP (7269 CVE без v4), NIST (7254), Patchstack (5309), Wordfence (2521), Red Hat (1757), Microsoft Corporation (1071), Adobe Systems Incorporated (637), MITRE (413), ZDI (316), IBM Corporation (313), Oracle (312), Qualcomm (212), Cisco Systems, Inc. (189), SAP SE (185). GitHub при этом уже начал внедрение v4 в 2025 году и, как отмечает автор, выставил v4-оценки для 1153 CVE, хотя параллельно остаётся заметный объём оцененных записей без v4.

Главный вывод исследования звучит так: возможные изменения в «тренде критичности» сегодня с большей вероятностью объясняются не тем, что CVSS v4 «сам по себе» делает уязвимости менее критичными, а частичным внедрением новой версии и различиями в практиках скоринга у разных участников. Поскольку объём v4-оценок пока всё ещё ограничен, делать окончательные выводы о том, как именно CVSS v4 влияет на распределение уровней серьёзности, рано — но уже видно, что в статистике легко появляются перекосы из-за неполного покрытия и субъективных решений при выставлении метрик.