NVD abandona enriquecimento de CVEs anteriores a março de 2026
O Banco de Dados Nacional de Vulnerabilidades (NVD, na sigla em inglês), mantido pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST), está passando por uma mudança profunda em sua operação. A partir de agora, o time responsável deixará de enriquecer vulnerabilidades (CVEs) divulgadas antes de março de 2026, concentrando esforços apenas nas falhas mais recentes e nas que representem maior risco.
A decisão foi detalhada por Harold Booth, cientista da computação do NIST, durante a conferência VulnCon26, realizada em Scottsdale, Arizona, em 15 de abril de 2026. Segundo Booth, o NVD simplesmente não consegue mais acompanhar o volume “recorde” de novas vulnerabilidades reportadas ao longo dos últimos anos.
Por que o NVD mudou a forma de trabalhar com CVEs
Booth deixou claro que o problema não é falta de esforço da equipe, mas um descompasso entre a capacidade operacional e o crescimento do número de CVEs. O NVD continua recebendo todos os relatos de vulnerabilidades comuns e exposições, mas o ritmo de submissão superou a capacidade de análise e enriquecimento de dados.
Nas palavras do cientista, o fluxo de novos registros é tão grande que a fila de pendências só cresce. Por isso, a organização decidiu rever sua estratégia: em vez de tentar enriquecer todos os CVEs, inclusive antigos, passará a priorizar aqueles com maior impacto potencial para segurança, bem como as vulnerabilidades mais recentes. As falhas anteriores a março de 2026, em regra, não serão mais enriquecidas de forma proativa, a menos que se enquadrem em critérios específicos de risco.
Abordagem baseada em risco e novos critérios de priorização
Para lidar com essa explosão de registros, o NVD está adotando uma abordagem explicitamente baseada em risco. Em vez de tratar todos os CVEs de forma uniforme, a plataforma passará a aplicar critérios para decidir quais vulnerabilidades serão processadas e enriquecidas primeiro.
Entre os fatores que tendem a ser priorizados estão:
– impacto potencial elevado em termos de confidencialidade, integridade e disponibilidade;
– ampla superfície de exposição (por exemplo, produtos muito difundidos ou componentes críticos de infraestrutura);
– indícios de exploração ativa ou facilidade de exploração;
– relevância para setores considerados estratégicos ou críticos.
Vulnerabilidades que não se enquadrarem nesses critérios passam a ser classificadas como “Não Agendadas” (Not Scheduled). Na prática, isso significa que o NVD registra o CVE, mas não se compromete a realizar enriquecimento detalhado em um prazo definido.
Categorização de CVEs e pedidos de enriquecimento
Embora todos os CVEs submetidos continuem a ser incluídos no NVD, o tratamento dado a cada um deles muda significativamente. Em vez de tentar enriquecer automaticamente todo o acervo, o NVD passa a trabalhar com uma fila de prioridade.
Os CVEs considerados de menor criticidade ou menos urgentes recebem o novo rótulo “Não agendado”. Esse status substitui o antigo “Adiado” (Deferred) e deixa mais claro para usuários e equipes de segurança que não existe previsão para enriquecimento automático desses registros.
Organizações que dependem de informações adicionais para um determinado CVE não agendado continuarão podendo solicitar análise mais aprofundada ao NVD. Essa lógica desloca parte da responsabilidade para os consumidores do serviço: o NVD deixa de tentar antecipar todas as necessidades e passa a responder sob demanda a determinadas requisições de enriquecimento.
Crescimento explosivo no volume de CVEs
A mudança não é arbitrária: ela é diretamente impulsionada por um aumento considerado sem precedentes na quantidade de vulnerabilidades reportadas. Entre 2020 e 2025, o número de submissões de CVEs cresceu 263%, segundo comunicado do próprio NIST datado de 15 de abril de 2026.
Ainda assim, Booth destacou que sua equipe nunca trabalhou tanto. Somente em 2025, o NVD conseguiu enriquecer quase 42.000 CVEs, um salto de 45% em relação a qualquer outro ano anterior. Apesar disso, o esforço extra não foi suficiente para acompanhar o ritmo de novas notificações.
Os três primeiros meses de 2026 já vinham confirmando essa tendência: o volume de submissões no período foi quase um terço maior do que no mesmo intervalo do ano anterior. Em outras palavras, mesmo aumentando produtividade e automatização, a equipe continuava “correndo atrás do prejuízo”.
Projeções recordes para 2026
As previsões para o ano de 2026 indicam que o cenário deve ficar ainda mais desafiador. Em fevereiro daquele ano, o Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST) estimou que seriam registrados pelo menos 50.000 novos CVEs adicionais ao longo de 2026, estabelecendo um novo recorde.
Alguns especialistas, porém, trabalham com números ainda mais agressivos. Jerry Gamblin, engenheiro principal da Cisco Threat Detection & Response, projeta que o total pode chegar a 70.135 CVEs até o fim de 2026. Isso representaria um crescimento de 45,6% em relação aos 48.171 CVEs registrados em 2025.
Essas projeções ajudam a explicar por que o NVD considerou insustentável manter o mesmo modelo de enriquecimento até então adotado, especialmente para vulnerabilidades antigas. A decisão de “cortar” o enriquecimento automático para CVEs anteriores a março de 2026 é, em essência, um movimento para preservar a qualidade e a atualidade dos dados mais críticos, em vez de tentar abraçar todo o histórico.
A pressão adicional dos identificadores CPE
Booth também pontuou que o desafio não está apenas no volume bruto de CVEs, mas também na complexidade dos dados associados. Um dos pontos críticos é o crescimento no número de identificadores de Enumeração de Plataforma Comum (CPE), usados para descrever produtos e versões afetadas por determinada vulnerabilidade.
O avanço de ferramentas de descoberta de falhas baseadas em grandes modelos de linguagem (LLMs), como Claude Mythos (Anthropic) e GPT‑5.4‑Cyber (OpenAI), intensificou esse efeito. Essas soluções são capazes de mapear, correlacionar e sugerir associações de vulnerabilidades a uma gama muito maior de softwares, dispositivos e serviços, multiplicando o número de CPEs envolvidos.
Isso significa que cada CVE pode estar ligado a um conjunto mais amplo e dinâmico de plataformas, aumentando o esforço de validação e enriquecimento. Não se trata apenas de “registrar mais vulnerabilidades”, mas de atualizar e manter coerente um ecossistema muito mais complexo de dados de produtos e versões.
Novas regras para pontuação de severidade e reanálise
Outra mudança relevante anunciada pelo NVD diz respeito à forma de lidar com pontuações de severidade, especialmente o CVSS (Common Vulnerability Scoring System). O NVD não fornecerá mais sua própria pontuação de severidade para CVEs que já foram avaliados pela autoridade que submeteu a vulnerabilidade, exceto em casos em que considere a pontuação inadequada ou desalinhada com a realidade técnica da falha.
Com isso, o NVD evita retrabalho e conflitos desnecessários de avaliação, concentrando esforços nas vulnerabilidades que realmente precisam ser analisadas ou corrigidas em termos de classificação de risco.
Além disso, o NVD só voltará a reanalisar CVEs já modificados quando as mudanças forem consideradas materialmente relevantes para os dados de enriquecimento – por exemplo, quando surgirem novas informações que alterem de forma significativa o impacto, a exploração ou o escopo da falha. Alterações menores ou meramente cosméticas deixam de acionar uma nova rodada de enriquecimento.
O que significa, na prática, abandonar o enriquecimento pré-março de 2026
Quando o NVD afirma que abandonará o enriquecimento de CVEs anteriores a março de 2026, isso não quer dizer que essas vulnerabilidades desaparecerão do sistema. Elas continuam registradas, consultáveis e associadas a seus respectivos identificadores.
O que muda é a expectativa de que o NVD vá continuar adicionando, de forma sistemática, novos metadados, análises aprofundadas, mapeamento detalhado de CPEs e atualizações contínuas para esse conjunto histórico. Em outras palavras, o esforço ativo da equipe passa a ser direcionado prioritariamente aos CVEs relatados a partir de março de 2026 e aos casos mais críticos selecionados por critérios de risco.
Esse tipo de decisão é típico de ambientes em que a demanda por informação cresce mais rápido do que os recursos disponíveis. Em vez de tentar manter um acervo “perfeito e completo” de todas as vulnerabilidades já registradas, o NVD está sinalizando que sua missão principal é ajudar a comunidade de segurança a lidar com o aqui e agora: as falhas mais atuais, de maior impacto e mais exploradas.
Impactos para equipes de segurança e gestores de risco
Para equipes de TI, segurança e gestores de risco, a nova postura do NVD exige ajustes. Organizações que se baseavam fortemente no enriquecimento do NVD para priorizar correções em sistemas legados ou em vulnerabilidades antigas terão de complementar essa visão com fontes internas de inteligência, escaneamentos próprios e, possivelmente, ferramentas de terceiros.
Outro ponto é a necessidade de desenvolver critérios internos de priorização inspirados na linha seguida pelo próprio NVD: olhar não apenas para a pontuação CVSS, mas também para contexto de negócio, exposição real, criticidade dos ativos e possibilidade de exploração.
Empresas com ambientes complexos, que acumulam dívidas técnicas de anos, terão que decidir de forma mais explícita quais falhas antigas merecem atenção prioritária. O fato de o NVD não enriquecer mais de forma ativa vulnerabilidades pré-março de 2026 tende a acelerar decisões como descomissionamento de sistemas legados, segmentação de redes e adoção de arquiteturas mais resilientes.
O papel crescente da automação e da IA nesse cenário
A própria escalada de CVEs e CPEs é, em parte, resultado da adoção em massa de ferramentas automatizadas baseadas em IA para descoberta de vulnerabilidades. Paradoxalmente, a solução para lidar com o excesso de dados também passa por essas tecnologias.
Tanto organizações privadas quanto entidades governamentais vêm recorrendo a sistemas de correlação, classificação automática, priorização de alertas e até enriquecimento contextual interno para conseguir dar sentido ao mar de vulnerabilidades identificadas diariamente.
Nesse novo contexto, o NVD deixa de ser a única “camada de inteligência” e passa a dividir essa função com mecanismos locais de análise e priorização. Em vez de esperar que o NVD entregue todo o contexto pronto, muitas empresas precisarão combinar os dados brutos de CVEs com informações próprias de inventário, exposição na internet, logs e telemetria de segurança.
Riscos de dependência exclusiva de bases públicas
Outro efeito importante da decisão do NVD é evidenciar o risco de depender exclusivamente de uma base pública, gratuita e com recursos limitados para decisões críticas de segurança. Embora o NVD continue sendo uma referência indispensável, ele nunca foi projetado para suprir, sozinho, todas as necessidades específicas de cada organização.
A mudança operacional reforça a necessidade de uma estratégia de segurança mais madura, que envolva:
– fontes diversificadas de informações sobre ameaças;
– processos bem definidos de gestão de vulnerabilidades;
– integração com ferramentas de varredura e gestão de ativos;
– alinhamento entre áreas técnicas e de negócio para definir prioridades.
Para muitas empresas, a nova realidade do NVD pode funcionar como um alerta para revisar processos, adotar ferramentas mais avançadas de gestão de vulnerabilidades e reduzir a ilusão de que uma base centralizada resolverá, sozinha, o problema.
Um novo equilíbrio entre abrangência e profundidade
Em última análise, a decisão do NVD de abandonar o enriquecimento sistemático de CVEs anteriores a março de 2026 e adotar uma priorização baseada em risco reflete um dilema clássico: é melhor tentar cobrir tudo de forma superficial ou focar onde o risco é maior e entregar dados mais úteis?
Ao optar pela segunda via, o NVD assume que não é mais possível, nem desejável, manter a mesma profundidade de tratamento para todo o histórico de vulnerabilidades. A prioridade passa a ser a proteção contra ameaças atuais e emergentes, mesmo que isso signifique conviver com lacunas em registros mais antigos.
Para a comunidade de segurança, essa mudança representa tanto um desafio quanto uma oportunidade: a de evoluir processos, reduzir dependências, explorar melhor automação e inteligência artificial e, sobretudo, tratar a gestão de vulnerabilidades não como uma lista infinita de itens a corrigir, mas como um exercício permanente de gestão de risco.