Zwischen dem 15. April und dem 15. Juni analysierte Volerion nach eigenen Angaben alle 13.441 akzeptierten CVEs, die in der NVD veröffentlicht wurden. Mehr als die Hälfte davon, nämlich 8.342 Schwachstellen, seien von NIST für eine Anreicherung priorisiert worden. Tatsächlich erhielten laut Volerion aber nur 6.759 Einträge eine solche NIST-Analyse. Damit blieben 1.583 veröffentlichte CVEs weiterhin ohne Auswertung.
Noch geringer fiel die Zahl bei den CVSS-Daten aus. Nur 2.645 der angereicherten Schwachstellen erhielten auch einen CVSS-Vektor von NIST. Volerion führt das darauf zurück, dass NIST vermutlich CVEs übersprang, die bereits eine Bewertung durch eine CVE Numbering Authority, kurz CNA, erhalten hatten. Diese Stellen, darunter Sicherheitsunternehmen und Technologieanbieter, dürfen für bestimmte Schwachstellen CVE-IDs vergeben und veröffentlichen.
Genau darin sieht Volerion jedoch ein strukturelles Problem. In einem Blogbeitrag schreibt das Unternehmen, CNA-Vektoren stammten von vielen verschiedenen Organisationen mit unterschiedlichem Fachwissen, unterschiedlichen Verzerrungen und uneinheitlicher Arbeitsweise. Deshalb seien NIST-Vektoren gefragt gewesen: als unabhängige und zumindest dem Anspruch nach fachkundige und angesehene Quelle.
Im CVE-Programm, das von Mitre beaufsichtigt wird, gibt es derzeit mehr als 500 CNAs. Weil mehrere dieser Stellen für dieselbe Schwachstelle CVE- und CVSS-Angaben veröffentlichen können, kann es laut Bericht zu Doppeleinträgen, widersprüchlichen Analysen und sogar Streit über Offenlegungen kommen. Mitre selbst hatte zuletzt ebenfalls mit Unsicherheit bei der Finanzierung des Programms zu kämpfen.
Neben der Abdeckung bemängelt Volerion auch die Geschwindigkeit. Zwar lag die mittlere Zeit bis zur Analyse pro Monat laut Untersuchung auf einem vergleichsweise niedrigen Niveau und betrug im Mai fast vier Tage. Gleichzeitig fanden die Forscher jedoch viele Schwachstellen, die wochenweise weiterhin mit dem Status „Analyse ausstehend“ geführt wurden und damit nicht in diese Kennzahl einflossen. Engpässe traten der Untersuchung zufolge insbesondere dann auf, wenn die Zahl veröffentlichter CVEs pro Woche sprunghaft anstieg. Mit Blick auf die weiter steigende Zahl gemeldeter Schwachstellen, die Volerion mit Microsofts rekordträchtigem Patch Tuesday in diesem Monat illustriert, dürfte NIST nach Einschätzung des Unternehmens weiter ins Hintertreffen geraten.
Als besonders problematisch bezeichnet Volerion den Wegfall unabhängiger Risikobewertungen durch NIST. Das treffe speziell Cloud Service Provider im FedRAMP-Umfeld, da diese laut Volerion für ihre Risikobewertung den CVSS-Wert von NIST verwenden müssen. Ohne diese Einordnung seien Endnutzerorganisationen stärker auf CNA-Bewertungen angewiesen, die nach Aussage von Mitgründer Ruben Bos mitunter verzerrt sein können.
Volerion sieht aber auch Fehler in den NIST-eigenen Analysen. Das Unternehmen verglich nach eigenen Angaben über den Zweimonatszeitraum hinweg Tausende CVEs mit den Ergebnissen seiner eigenen Plattform und stellte Abweichungen bei Bewertungen, unterschiedliche Vektoren und fehlenden Kontext fest. Am häufigsten widersprach Volerion NIST bei der Angriffskomplexität. In rund einem Drittel aller Meinungsverschiedenheiten habe NIST die Angriffskomplexität mit „AC:L“ für niedrig bewertet, während Volerion „AC:H“ für hoch annahm. Nach Beobachtung der Forscher übersah NIST in vielen Fällen, dass für eine Ausnutzung Privilegien oder Benutzerinteraktion erforderlich waren.
Als Beispiel nennt Volerion CVE-2026-8856, eine Denial-of-Service-Schwachstelle in IBM HTTP Server 8.5 und 9.0. NIST bewertete die Lücke mit einem kritischen Schweregrad und einem CVSS-Wert von 9,1. IBM selbst stufte sie als mittel mit 7,7 ein. Volerion kam auf einen noch niedrigeren mittleren Wert von 4,4. Zur Begründung verweist das Unternehmen darauf, dass ein verwundbarer Server so konfiguriert sein müsse, dass externe Angreifer Schreibzugriff erhalten. Deshalb seien die Vektoren AV:L und PR:H angemessen, nicht AV:N und PR:N.
Nach Einschätzung von Karel Knibbe liegt ein Teil des Problems darin, dass NIST die Auswahl von CVEs für die Anreicherung vermutlich automatisiert und dabei Daten aus unterschiedlichen Quellen nutze, darunter den KEV-Katalog der Cybersecurity and Infrastructure Security Agency (CISA). Knibbe sagt, CISA unterliefen dabei häufig Fehler; manche Schwachstellen fehlten im Katalog, andere würden zu früh aufgenommen, und aktualisierte KEV-Einträge würden nicht öffentlich bekannt gemacht. Positiv hebt Bos hervor, dass Volerion CISA beim Projekt Vulnrichment unterstützt, einem öffentlichen GitHub-Repository mit von CISA angereicherten CVEs. Zudem hat das Unternehmen eine NVD-kompatible API für CVEs veröffentlicht, die über die eigene Plattform Anreicherungen für CVSS 3.1 und CVSS 4.0 sowie weitere Kontextdaten bereitstellt.