Blog
Priorización 9 de abril de 2026 April 9, 2026 5 min de lectura 5 min read

CVSS vs EPSS: qué parchear hoy y qué puede esperar

Dos métricas, dos preguntas distintas. El CVSS responde "¿qué tan grave es esto en abstracto?". El EPSS responde "¿qué probabilidad hay de que alguien lo explote esta semana?". Usarlas juntas cambia radicalmente cómo ordenas tu backlog.

CVSS vs EPSS: what to patch today and what can wait

Two metrics, two different questions. CVSS answers "how severe is this in the abstract?" EPSS answers "how likely is it that someone will exploit it this week?" Using them together radically changes how you order your backlog.

El problema con priorizar solo por CVSS

La mayoría de los equipos de seguridad ordenan su trabajo por puntuación CVSS: primero los 10.0, luego los 9.x, y así hacia abajo. Es un método comprensible. El problema es que el CVSS no mide urgencia, mide gravedad potencial bajo condiciones teóricas.

Un CVE con CVSS 9.8 puede llevar meses sin explotación activa, sin exploit público disponible, y sin ningún actor de amenazas que le preste atención. Mientras tanto, un CVE con CVSS 5.3 puede tener exploit funcional publicado en GitHub y aparecer en campañas activas de ransomware esa misma semana. Si priorizas solo por CVSS, estarás trabajando en el primero e ignorando el segundo.

Qué mide el CVSS (y qué no)

El Common Vulnerability Scoring System evalúa las características intrínsecas de una vulnerabilidad: vector de ataque, complejidad, privilegios requeridos, interacción del usuario, alcance, e impacto en confidencialidad, integridad y disponibilidad.

Lo que el CVSS no tiene en cuenta:

  • Si existe un exploit funcional y público.
  • Si hay actores de amenazas explotándola activamente.
  • Si tu configuración específica es vulnerable de la misma manera que describe la puntuación.
  • Cuándo fue publicada o cuánto tiempo lleva en circulación.

El CVSS es estático: una puntuación asignada en el momento de la publicación que no cambia aunque el panorama de explotación cambie completamente.

Qué mide el EPSS

El Exploit Prediction Scoring System, desarrollado por FIRST, estima la probabilidad de que un CVE sea explotado en los próximos 30 días. Va de 0 a 1: un EPSS de 0.85 significa que los modelos estiman un 85 % de probabilidad de explotación en ese ventana temporal.

Para calcularlo, el modelo analiza: disponibilidad de código de exploit, actividad en fuentes de inteligencia de amenazas, cobertura en medios técnicos y patrones históricos de vulnerabilidades similares. Se actualiza diariamente.

Dónde consultarlo: El EPSS de cada CVE está disponible en epss.cyentia.com y en la API pública de FIRST. La mayoría de plataformas de gestión de vulnerabilidades lo incorporan directamente.

Cómo combinarlos en la práctica

La combinación de CVSS y EPSS da una imagen más completa. Esta tabla resume la lógica de decisión:

CVSS EPSS Acción recomendada
Alto ≥ 7.0 Alto > 0.3 Parchear esta semana. Máxima prioridad.
Alto ≥ 7.0 Bajo < 0.05 Planificar en el próximo ciclo. Sin urgencia inmediata.
Medio 4.0–6.9 Alto > 0.5 Evaluar exposición del activo. Puede requerir acción urgente.
Bajo < 4.0 Bajo < 0.05 Backlog. Sin urgencia salvo activo muy crítico.

Cuándo el EPSS no es suficiente

El EPSS es predictivo: estima lo que podría ocurrir. Hay tres situaciones en las que debes actuar aunque el EPSS sea bajo:

  • El CVE está en el KEV de CISA. El KEV es factual, no predictivo. Si está ahí, la explotación ya está confirmada. El EPSS no necesariamente lo refleja a tiempo, especialmente en las primeras 24–48 horas tras la publicación.
  • El activo afectado es de máxima criticidad. Para sistemas que manejan datos sensibles, acceso privilegiado o están expuestos directamente a internet, el umbral de tolerancia baja. Un CVSS alto con EPSS moderado puede justificar acción inmediata.
  • El CVE es muy reciente. El EPSS necesita datos para calibrarse. En los primeros días tras la publicación de una vulnerabilidad, la puntuación puede ser artificialmente baja porque aún no hay actividad registrada.

La combinación correcta

Ninguna de las dos métricas funciona sola. El CVSS te dice qué impacto tendría si alguien lo explotara. El EPSS te dice con qué probabilidad alguien lo va a intentar pronto. Combinados con el contexto de tu inventario —qué activos tienes, cuáles están expuestos, cuál es su criticidad de negocio— obtienes una priorización que refleja el riesgo real, no solo el teórico.

Un proceso de priorización maduro no pregunta solo "¿qué tan grave es este CVE?", sino "¿qué probabilidad hay de que alguien lo use contra mis activos más importantes esta semana?". Esa es la pregunta que CVSS y EPSS juntos ayudan a responder.

Priorización que va más allá del CVSS

vulloop incorpora EPSS, KEV y contexto de activo para que cada CVE tenga la prioridad correcta en tu entorno específico.

The problem with prioritizing by CVSS alone

Most security teams order their work by CVSS score: the 10.0s first, then the 9.x range, and so on down. It's an understandable method. The problem is that CVSS doesn't measure urgency — it measures potential severity under theoretical conditions.

A CVE with CVSS 9.8 can go months without active exploitation, without a public exploit available, and without any threat actor paying attention to it. Meanwhile, a CVE with CVSS 5.3 can have a functional exploit published on GitHub and appear in active ransomware campaigns that same week. If you prioritize only by CVSS, you'll be working on the first and ignoring the second.

What CVSS measures (and what it doesn't)

The Common Vulnerability Scoring System evaluates the intrinsic characteristics of a vulnerability: attack vector, complexity, required privileges, user interaction, scope, and impact on confidentiality, integrity, and availability.

What CVSS does not account for:

  • Whether a functional, public exploit exists.
  • Whether threat actors are actively exploiting it.
  • Whether your specific configuration is vulnerable in the same way the score describes.
  • When it was published or how long it's been in circulation.

CVSS is static: a score assigned at publication that doesn't change even if the exploitation landscape changes completely.

What EPSS measures

The Exploit Prediction Scoring System, developed by FIRST, estimates the probability that a CVE will be exploited in the next 30 days. It ranges from 0 to 1: an EPSS of 0.85 means the models estimate an 85% probability of exploitation in that time window.

To calculate it, the model analyzes: exploit code availability, activity in threat intelligence sources, coverage in technical media, and historical patterns from similar vulnerabilities. It updates daily.

Where to check it: The EPSS for each CVE is available at epss.cyentia.com and the FIRST public API. Most vulnerability management platforms incorporate it directly.

How to combine them in practice

Combining CVSS and EPSS gives a more complete picture. This table summarizes the decision logic:

CVSS EPSS Recommended action
High ≥ 7.0 High > 0.3 Patch this week. Maximum priority.
High ≥ 7.0 Low < 0.05 Plan for the next cycle. No immediate urgency.
Medium 4.0–6.9 High > 0.5 Assess asset exposure. May require urgent action.
Low < 4.0 Low < 0.05 Backlog. No urgency unless very critical asset.

When EPSS isn't enough

EPSS is predictive: it estimates what could happen. There are three situations where you should act even if EPSS is low:

  • The CVE is in CISA's KEV. KEV is factual, not predictive. If it's there, exploitation is already confirmed. EPSS doesn't necessarily reflect this in time, especially in the first 24–48 hours after publication.
  • The affected asset is at maximum criticality. For systems that handle sensitive data, privileged access, or are directly exposed to the internet, the tolerance threshold drops. A high CVSS with moderate EPSS may justify immediate action.
  • The CVE is very recent. EPSS needs data to calibrate itself. In the first days after a vulnerability's publication, the score can be artificially low because there's no recorded activity yet.

The right combination

Neither metric works alone. CVSS tells you what impact it would have if someone exploited it. EPSS tells you how likely someone is to try soon. Combined with the context of your inventory — which assets you have, which are exposed, what their business criticality is — you get a prioritization that reflects real risk, not just theoretical risk.

A mature prioritization process doesn't just ask "how severe is this CVE?" but "how likely is it that someone will use it against my most important assets this week?" That's the question CVSS and EPSS together help answer.

Prioritization beyond CVSS

vulloop incorporates EPSS, KEV, and asset context so every CVE gets the right priority in your specific environment.