Vulnerabilidades críticas y CVEs
Cómo priorizar riesgos con datos públicos del NVD y CISA KEV — volumen, severidad y lo que realmente importa defender.
Qué es un CVE y por qué el volumen importa
CVE (Common Vulnerabilities and Exposures) es un identificador único para cada vulnerabilidad de seguridad conocida, publicado por el NVD (National Vulnerability Database) del NIST.
Volumen real de CVEs (últimos 30 días) — NVD
Datos recopilados vía NVD API (NIST). Junio 2026. VAIA actualiza estos datos periódicamente.
CISA KEV: la lista que realmente importa
La CISA mantiene el catálogo Known Exploited Vulnerabilities (KEV) — una lista de CVEs con explotación activa confirmada en el campo. Es la lista de máxima prioridad.
- 1. CISA KEV primero — requiere remediación inmediata si el sistema está expuesto.
- 2. CVSS ≥ 9.0 en sistemas expuestos a internet — crítico con alta visibilidad de ataque.
- 3. CVSS 7.0–8.9 en sistemas con datos sensibles — alto riesgo contextual.
- 4. CVEs ≤ 6.9 en sistemas aislados — remediar en ciclo normal de gestión de parches.
Qué identificó VAIA sobre vulnerabilidades
54 vulnerabilidades en CISA KEV — todas con explotación confirmada
VAIA monitoreó 54 entradas en CISA KEV con explotación activa documentada. Estas vulnerabilidades afectan productos de proveedores ampliamente utilizados.
Cadena de suministro de NPM como vector emergente
El compromiso del TanStack Router vía NPM señaló que la superficie de ataque migró a las dependencias de código abierto.
Señales editoriales relacionadas
Monitorear CVEs en tiempo real
Acceda al panel de Seguridad de VAIA para la vista dinámica completa, incluyendo CVEs por severidad, contratación defensiva y señales de amenaza activa.