NIST Reduz Avaliação de Vulnerabilidades Não Críticas Devido ao Aumento Exponencial
O Instituto Nacional de Padrões e Tecnologia (NIST) está mudando sua abordagem para lidar com vulnerabilidades, priorizando as mais críticas. A decisão foi tomada devido ao aumento significativo no número de CVEs (Common Vulnerabilities and Exposures), sobrecarregando a capacidade de análise.
MundiX News·02 de maio de 2026·3 min de leitura·👁 3 views
O National Institute of Standards and Technology (NIST) anunciou uma mudança em sua abordagem para o tratamento de vulnerabilidades no National Vulnerability Database (NVD). A partir de abril de 2026, a organização irá enriquecer dados (atribuir pontuações de severidade, identificar produtos afetados, adicionar descrições e links) apenas para as entradas CVE prioritárias, enquanto as demais permanecerão na base sem análise adicional.
A razão para essa decisão é o crescimento explosivo no número de envios: de 2020 a 2025, o número de CVEs recebidos aumentou 263%, e no primeiro trimestre de 2026, o ritmo acelerou ainda mais – houve um terço a mais de envios do que no mesmo período do ano anterior. Especialistas do NIST admitem que não podem mais processar o fluxo manualmente, embora em 2025 tenham enriquecido informações sobre quase 42.000 CVEs, o que é 45% a mais do que em qualquer ano anterior.
Representantes da organização afirmam que, a partir de agora, apenas as CVEs que atendem a pelo menos um dos critérios serão enriquecidas:
Estão incluídas no catálogo de vulnerabilidades conhecidas exploradas (Known Exploited Vulnerabilities, KEV), compilado por especialistas da CISA;
Afetam software usado por agências federais dos EUA;
Referem-se a software de missão crítica, de acordo com a Ordem Executiva 14028 (software com privilégios elevados, controlando o acesso a dados ou operando fora dos limites de confiança padrão).
Todas as CVEs que não se enquadrarem nesses critérios receberão o status "Not Scheduled". Além disso, o NIST não calculará mais separadamente a pontuação de severidade dos problemas se ela já tiver sido atribuída pela CNA (CVE Numbering Authority – a organização que emitiu o identificador).
Todas as CVEs não enriquecidas do backlog com data de publicação anterior a 1º de março de 2026 também serão movidas para a categoria "Not Scheduled", a menos que figurem no catálogo KEV. A reanálise de entradas já processadas será realizada apenas em caso de mudanças significativas. Ao mesmo tempo, qualquer pessoa pode solicitar o enriquecimento de uma CVE específica, enviando um e-mail para nvd@nist.gov.
Especialistas em segurança da informação reagiram à notícia de forma ambígua. Caitlin Condon, vice-presidente de pesquisa da VulnCheck, observou que a decisão do NIST não foi uma surpresa para ninguém, mas coloca em uma situação difícil as organizações que dependem do NVD como a única fonte de dados sobre vulnerabilidades. De acordo com a VulnCheck, cerca de 10.000 vulnerabilidades de 2025 ainda não possuem uma pontuação CVSS, e de todas as CVEs com o prefixo "CVE-2025", apenas cerca de 32% foram enriquecidas.
David Lindner, CISO da Contrast Security, chamou o que está acontecendo de o fim de uma era, quando os defensores podiam confiar em um único banco de dados para avaliar riscos. Segundo ele, é hora de os especialistas mudarem para o catálogo KEV e as métricas de explorabilidade dos problemas, concentrando-se em ameaças reais em vez da severidade teórica de cada bug menor.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
O National Institute of Standards and Technology (NIST) anunciou uma mudança em sua abordagem para o tratamento de vulnerabilidades no National Vulnerability Database (NVD). A partir de abril de 2026, a organização irá enriquecer dados (atribuir pontuações de severidade, identificar produtos afetados, adicionar descrições e links) apenas para as entradas CVE prioritárias, enquanto as demais permanecerão na base sem análise adicional.
A razão para essa decisão é o crescimento explosivo no número de envios: de 2020 a 2025, o número de CVEs recebidos aumentou 263%, e no primeiro trimestre de 2026, o ritmo acelerou ainda mais – houve um terço a mais de envios do que no mesmo período do ano anterior. Especialistas do NIST admitem que não podem mais processar o fluxo manualmente, embora em 2025 tenham enriquecido informações sobre quase 42.000 CVEs, o que é 45% a mais do que em qualquer ano anterior.
Representantes da organização afirmam que, a partir de agora, apenas as CVEs que atendem a pelo menos um dos critérios serão enriquecidas:
Estão incluídas no catálogo de vulnerabilidades conhecidas exploradas (Known Exploited Vulnerabilities, KEV), compilado por especialistas da CISA;
Afetam software usado por agências federais dos EUA;
Referem-se a software de missão crítica, de acordo com a Ordem Executiva 14028 (software com privilégios elevados, controlando o acesso a dados ou operando fora dos limites de confiança padrão).
Todas as CVEs que não se enquadrarem nesses critérios receberão o status "Not Scheduled". Além disso, o NIST não calculará mais separadamente a pontuação de severidade dos problemas se ela já tiver sido atribuída pela CNA (CVE Numbering Authority – a organização que emitiu o identificador).
Todas as CVEs não enriquecidas do backlog com data de publicação anterior a 1º de março de 2026 também serão movidas para a categoria "Not Scheduled", a menos que figurem no catálogo KEV. A reanálise de entradas já processadas será realizada apenas em caso de mudanças significativas. Ao mesmo tempo, qualquer pessoa pode solicitar o enriquecimento de uma CVE específica, enviando um e-mail para nvd@nist.gov.
Especialistas em segurança da informação reagiram à notícia de forma ambígua. Caitlin Condon, vice-presidente de pesquisa da VulnCheck, observou que a decisão do NIST não foi uma surpresa para ninguém, mas coloca em uma situação difícil as organizações que dependem do NVD como a única fonte de dados sobre vulnerabilidades. De acordo com a VulnCheck, cerca de 10.000 vulnerabilidades de 2025 ainda não possuem uma pontuação CVSS, e de todas as CVEs com o prefixo "CVE-2025", apenas cerca de 32% foram enriquecidas.
David Lindner, CISO da Contrast Security, chamou o que está acontecendo de o fim de uma era, quando os defensores podiam confiar em um único banco de dados para avaliar riscos. Segundo ele, é hora de os especialistas mudarem para o catálogo KEV e as métricas de explorabilidade dos problemas, concentrando-se em ameaças reais em vez da severidade teórica de cada bug menor.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
