NVD deixará de enriquecer CVEs anteriores a março de 2026: o que muda para segurança da informação
—————————————————————————————————————-
A equipe responsável pelo National Vulnerability Database (NVD), mantido pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos, assumiu publicamente que não consegue mais acompanhar o ritmo de crescimento das vulnerabilidades reportadas no mundo. Como consequência, o NVD está promovendo uma mudança estratégica importante: vulnerabilidades (CVEs) divulgadas antes de março de 2026 deixarão de receber enriquecimento de dados, salvo exceções pontuais e sob demanda.
O anúncio foi feito por Harold Booth, cientista da computação do NIST, durante a conferência VulnCon26, realizada em 15 de abril de 2026 em Scottsdale, Arizona. Segundo ele, o volume “recorde” de registros de Vulnerabilidades e Exposições Comuns (CVEs) tornou inviável manter o mesmo modelo de análise detalhada para todos os casos, especialmente os mais antigos.
Por que o NVD está mudando a forma de tratar CVEs
Booth foi direto ao ponto: o NVD continua recebendo todos os CVEs publicados, mas a capacidade da equipe de analistas simplesmente não cresceu no mesmo ritmo do fluxo de novas notificações.
De 2020 a 2025, o número de submissões de CVEs aumentou 263%, conforme comunicado oficial do NIST de 15 de abril de 2026. Em 2025, o NVD chegou a enriquecer quase 42 mil vulnerabilidades – um aumento de 45% em relação a qualquer ano anterior. Mesmo assim, isso já não é suficiente para impedir o acúmulo de uma fila crescente de casos pendentes.
O problema se agravou ainda mais em 2026: apenas nos três primeiros meses do ano, o volume de CVEs reportados já era quase um terço maior do que no mesmo período de 2025. Em outras palavras, o NVD está “trabalhando mais do que nunca”, mas a curva de crescimento das vulnerabilidades é muito mais inclinada do que a da capacidade de análise.
Diante desse cenário, o órgão decidiu concentrar esforços nos casos mais recentes e mais críticos – o que implica reduzir ou até interromper o enriquecimento de CVEs mais antigos, incluindo aqueles divulgados antes de março de 2026.
O que significa “enriquecimento” de CVEs
O NVD não é apenas um repositório de identificadores de vulnerabilidades. O valor do banco de dados está no enriquecimento: o processo de adicionar contexto, metadados e informações padronizadas sobre cada CVE, tais como:
– descrição detalhada e padronizada da falha;
– pontuação de severidade (CVSS) e vetores de ataque;
– informações de impacto (confidencialidade, integridade, disponibilidade);
– plataformas, produtos e versões afetadas (via CPE);
– relacionamentos com outras vulnerabilidades ou métricas de risco.
Esse enriquecimento é o que permite que organizações automatizem grande parte de suas rotinas de gestão de vulnerabilidades, conectando scanners, SIEMs, soluções de ITSM e ferramentas de priorização de risco.
Ao deixar de enriquecer CVEs anteriores a março de 2026 (salvo exceções), o NVD cria uma linha de corte clara: vulnerabilidades mais antigas podem continuar existindo no banco, mas com menos dados completos ou atualizados, dificultando o uso automatizado dessas informações.
Prioridade baseada em risco: nova abordagem operacional
Para lidar com o volume atual, o NVD passou a adotar um modelo explicitamente baseado em risco para decidir quais vulnerabilidades serão processadas primeiro. Em vez de tentar enriquecer todos os CVEs na mesma velocidade, a equipe passa a ranquear e priorizar aqueles que:
– apresentam maior potencial de impacto;
– afetam amplamente produtos e plataformas críticas;
– têm evidências de exploração ativa ou alta probabilidade de exploração;
– são relevantes para setores estratégicos ou infraestruturas essenciais.
Todos os CVEs submetidos continuam a ser incluídos no NVD, preservando seu papel de repositório global de referência. A diferença é que, na prática, muitos deles não terão o mesmo nível de enriquecimento ou de atualização que se tornou padrão nos últimos anos.
Os identificadores que não entrarem imediatamente na fila de análise aprofundada passam a ser marcados em uma nova categoria de status: “Não agendado” (Not scheduled). Isso substitui o antigo rótulo “Adiado” (Deferred), considerado pouco preciso diante da nova política.
Fim do enriquecimento automático de CVEs antigos
Na prática, a mensagem é clara: o NVD não pretende mais investir, de forma rotineira, em adicionar contexto ou revisar vulnerabilidades divulgadas antes de março de 2026, a menos que essas falhas atendam a critérios específicos de risco ou sejam objeto de solicitação direta.
Na perspectiva das equipes de segurança, isso significa que:
– CVEs antigos podem continuar existindo sem descrição refinada, sem vetores CVSS revisados ou sem mapeamento completo de plataformas afetadas;
– o foco do NVD estará fortemente voltado às vulnerabilidades mais recentes, geralmente as que têm maior relevância imediata para ataques contemporâneos;
– empresas que ainda dependem fortemente de sistemas legados e softwares antigos precisarão redobrar o esforço interno de análise e correlação de risco.
Embora ainda exista um canal formal para solicitar o enriquecimento de um CVE com status “Não agendado”, esse caminho tende a ser reservado a casos de real criticidade, uma vez que o problema de capacidade continuará existindo.
Crescimento explosivo também em CPEs
O desafio do NVD não se limita ao aumento no número de CVEs. Booth destacou que houve também um crescimento expressivo no volume de identificadores CPE (Common Platform Enumeration), usados para indicar produtos, sistemas operacionais, versões e plataformas afetadas por cada vulnerabilidade.
Esse aumento está diretamente ligado à sofisticação das ferramentas de descoberta de vulnerabilidades, muitas delas impulsionadas por modelos de linguagem de grande porte (LLMs), como gerações recentes de assistentes especializados em cyber. Essas tecnologias são capazes de identificar muito mais variações de software, configurações e superfícies de ataque do que no passado.
Consequência: para cada vulnerabilidade, o universo de combinações de produtos afetados cresceu de forma exponencial. Isso torna o trabalho de enriquecimento e validação ainda mais pesado e complexo.
Mudanças nas regras de pontuação e reanálise de CVEs
Além da mudança na priorização e na linha de corte temporal, o NVD também ajustou sua postura em relação à pontuação de severidade das vulnerabilidades:
– o NVD deixa de atribuir uma nova pontuação CVSS para CVEs que já foram pontuados pela autoridade que submeteu o registro (por exemplo, o fornecedor do software),
– exceção: se o NVD considerar que a pontuação original está desalinhada com a natureza da vulnerabilidade ou com seu impacto real, poderá ainda assim produzir uma avaliação própria.
Outra alteração relevante diz respeito a CVEs modificados posteriormente. A partir de agora, o NVD só reanalisará vulnerabilidades que tenham sofrido alterações que impactem de forma material os dados de enriquecimento – por exemplo, mudanças significativas em produtos afetados ou na gravidade do problema. Pequenos ajustes textuais ou técnicos, que não alterem o risco de maneira substancial, não serão mais gatilho automático para uma nova rodada de análise.
Esses ajustes têm como objetivo liberar tempo dos analistas para trabalhar onde o impacto é maior, em vez de revisitar continuamente vulnerabilidades já entendidas e relativamente estáveis.
Impactos para empresas, SOCs e equipes de resposta
Para organizações que estruturaram sua gestão de vulnerabilidades com forte dependência do NVD, as mudanças representam um ponto de inflexão. Alguns impactos práticos:
– Ferramentas que consomem dados do NVD podem passar a receber menos informações enriquecidas sobre vulnerabilidades mais antigas, prejudicando correlação automática e priorização baseada em risco histórico.
– Ambientes legados tendem a ficar mais expostos a lacunas de contexto, já que muitas falhas antigas, ainda presentes em sistemas em produção, podem não ser atualizadas ou detalhadas pelo NVD.
– SOCs e equipes de threat hunting precisarão complementar o NVD com fontes adicionais de inteligência e análises internas mais robustas, especialmente para ativos que não podem ser facilmente atualizados ou substituídos.
– Estratégias de compliance baseadas em checklists “só com CVSS do NVD” terão de ser revistas, pois nem todas as vulnerabilidades contarão com a mesma profundidade de dados.
Em contrapartida, a priorização baseada em risco tende a tornar mais ágil a disponibilização de informações sobre vulnerabilidades críticas e recentemente exploradas, favorecendo respostas mais rápidas às ameaças emergentes.
Como ajustar a estratégia de gestão de vulnerabilidades a partir de 2026
Diante desse novo cenário, algumas boas práticas passam a ser especialmente importantes:
1. Não depender de uma única fonte de verdade
Use o NVD como base, mas complemente com outras bases de vulnerabilidade, advisories de fornecedores, inteligência de ameaças e pesquisas especializadas. A redundância de fontes ajuda a compensar eventuais lacunas de enriquecimento.
2. Fortalecer a análise interna de risco
Em vez de confiar exclusivamente na pontuação CVSS publicada, considere o contexto do seu ambiente: exposição à internet, criticidade do ativo, grau de acesso que a vulnerabilidade permite, existência de controles compensatórios, entre outros fatores.
3. Criar processos específicos para sistemas legados
Para aplicações e infraestruturas antigas – mais suscetíveis a falhas pré-2026 que podem não ser enriquecidas – é aconselhável montar inventários detalhados e, se necessário, estabelecer trilhas de investigação próprias para CVEs históricos.
4. Automatizar o que for possível, mas com supervisão humana
Ferramentas automatizadas de varredura e correlação são essenciais, porém, com a mudança de postura do NVD, o papel da análise humana volta a ganhar protagonismo, especialmente para interpretar falhas com menos contexto publicado.
5. Priorizar a correção de vulnerabilidades novas e exploradas
Com o crescimento acelerado do volume de falhas, o foco deve estar em fechar rapidamente as janelas de oportunidade mais recentes, sobretudo aquelas que já contam com provas de conceito ou exploração observada em campo.
O papel crescente da Inteligência Artificial na descoberta de vulnerabilidades
Um aspecto pouco visível para o público, mas crucial para entender a sobrecarga do NVD, é o efeito dos modelos de linguagem e outras técnicas de IA na cadeia de descoberta de falhas.
Ferramentas modernas conseguem:
– analisar grandes bases de código em busca de padrões de vulnerabilidade;
– sugerir cenários de exploração;
– mapear de forma automatizada dependências de software e bibliotecas vulneráveis;
– gerar descrições mais completas e consistentes de vulnerabilidades.
Isso amplia a quantidade e a diversidade dos CVEs encontrados, mas também aumenta a pressão sobre órgãos como o NVD, que precisam validar, padronizar e enriquecer essas informações. A ironia é que a mesma tecnologia que ajuda a encontrar falhas com mais eficiência também amplifica o desafio de tratá-las em escala.
Essa tendência indica que o volume de vulnerabilidades seguirá em forte crescimento, mesmo que o número de analistas humanos não acompanhe a mesma curva. Modelos de priorização, automação e seleção baseada em risco tornam-se, portanto, não apenas desejáveis, mas inevitáveis.
O que esperar dos próximos anos
Projeções de diferentes entidades reforçam que 2026 será mais um ano recorde. O Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST) estima cerca de 50 mil novos CVEs reportados no ano. Já Jerry Gamblin, engenheiro principal de Threat Detection & Response da Cisco, projeta um número ainda mais agressivo: 70.135 CVEs até o fim de 2026, o que corresponderia a uma taxa de crescimento de 45,6% em relação aos 48.171 CVEs registrados em 2025.
Nada indica que essa tendência vá se reverter em curto prazo. Pelo contrário: mais código, mais conectividade, mais automação e mais ferramentas de IA significam também mais superfícies de ataque e mais vulnerabilidades identificadas.
Nesse contexto, a decisão do NVD de concentrar esforços nos casos mais relevantes e recentes parece menos uma escolha e mais uma adaptação necessária a uma nova realidade. O modelo antigo – tentar enriquecer tudo, independente de época e impacto – deixou de ser viável.
Conclusão: repensar dependências e amadurecer processos
A mudança de postura do NVD em relação ao enriquecimento de CVEs anteriores a março de 2026 é um sinal claro de maturidade do ecossistema de segurança: a era da abundância de dados sem limite encontra a realidade da capacidade humana e orçamentária.
Para gestores de segurança, CISOs e líderes de TI, a mensagem é dupla:
– é preciso diversificar fontes de informação e não tratar o NVD como único oráculo;
– e, ao mesmo tempo, reforçar internamente processos de avaliação de risco, priorização e resposta, aceitando que parte do trabalho de contextualização e enriquecimento passará a ser responsabilidade da própria organização.
Em última análise, o valor do NVD continua enorme, mas seu papel evolui: de um catálogo exaustivo e igualmente profundo para todos os casos, para um hub estratégico, focado principalmente nas vulnerabilidades de maior impacto e relevância atual. O resto dependerá, cada vez mais, da capacidade das empresas de interpretar, filtrar e agir com base nos dados disponíveis.