A agência americana de padrões, o National Vulnerability Database, acaba de cortar o alcance do que considera “enriquecimento” de vulnerabilidades. A medida responde a uma avalanche de relatórios: a quantidade de CVE (Common Vulnerabilities and Exposures) que chegam para serem catalogadas cresceu de maneira explosiva nos últimos anos, e NIST admite que já não pode processar cada uma com o mesmo nível de detalhe.
A mudança central é simples, mas significativa: O NIST continuará a listar todas as CVE, mas só adicionará informações de enriquecimento às quais satisfaçam critérios específicos de prioridade. As vulnerabilidades que não entrem nesse marco aparecerão como "Not Scheduled" Na base de dados, ou seja, serão registadas, mas não receberão o alargamento de contexto, métricas e análises que até agora muitas equipes de segurança davam por garantido.
As condições que o NIST estabeleceu para priorizar o enriquecimento (efectivas desde 15 de abril de 2026) colocam o foco no possível impacto e a exposição real. Entram em prioridade as CVE incluídas no catálogo de Known Exploited Vulnerabilities (KEV) da CISA, as vulnerabilidades em software usado pelo governo federal americano e aquelas que se consideram "software crítico" segundo a definição do Executive Order 14028. Sob essa última categoria incluem-se programas que funcionam com privilégios elevados ou geridos, que gerem acesso a redes ou recursos sensíveis, que controlam dados ou operações industriais, ou que operam fora dos limites normais de confiança com capacidade privilegiada de acesso.
É importante salientar que as CVE suspensas para enriquecimento não desaparecem: continuam a ser consultadas na base de dados. Aqueles que acreditam que uma vulnerabilidade não programada é de alto impacto podem pedir sua reavaliação Enviar um e- mail para o nvd@ nist.gov; NIST irá rever e, se for caso disso, irá agendar o enriquecimento.
O motivo operacional por trás de tudo isso não é menor. NIST detalha que o volume de remessas foi disparado: entre 2020 e 2025 o número de CVE recebidas aumentou cerca de 263%, e em 2025 a agência acrescentou enriquecimento a cerca de 42.000 entradas, um número muito superior a anos anteriores. Além disso, os primeiros meses de 2026 mostram um ritmo ainda maior de novas notificações. Essa pressão forçou a agência a decidir onde aplicar recursos humanos e técnicos para maximizar a proteção sistêmica.
Além do filtro por prioridade, o NIST introduziu ajustamentos operacionais que alteram a forma como a informação é apresentada e actualizada. A organização já não gerará rotineiramente uma pontuação de severidade separada se a Autoridade de Numeração de CVE (CVE Numbering Authority, CNA) já publicou sua própria qualificação. As CVE modificadas só serão reanalizadas se a mudança tiver um impacto material nos dados de enriquecimento e se moveram para o estado de "Not Scheduled" Todas as entradas sem enriquecer com data de publicação anterior a 1 de Março de 2026 (excepto as que estejam no catálogo KEV). O NIST também atualizado as marcas de estado e seu Dashboard para refletir essas transições em tempo real.
A notícia gerou reações encontradas na indústria. Pesquisadores de empresas de segurança sublinham que a decisão era previsível para uma priorização baseada em risco, uma marcha para trás prática frente à impossibilidade de manter um enriquecimento manual exaustivo. Desde VulnCheck Note-se que, embora a transparência do NIST ajuda a fixar expectativas, o movimento deixa organizações que dependiam exclusivamente da NVD com menos rotas claras para obter análises enriquecidas de muitas vulnerabilidades. De acordo com dados partilhados pela indústria, ainda existem milhares de falhas de 2025 sem um escore CVSS atribuído.
Para outros especialistas, a medida marca o fim de uma era em que um único repositório gerido pelo governo era suficiente para avaliar a superfície de risco. Os responsáveis pela segurança salientaram que a nova realidade obriga as organizações a adoptarem abordagens mais pró-activas e orientadas para a inteligência de ameaças: é preciso priorizar o que realmente está sendo explorado no mundo real, seguir listas como a KEV e fixar-se em métricas de exploração. Empresas como Contrast Security comentaram que esta mudança interrompe fluxos de auditoria herdados, mas, ao mesmo tempo, promove uma maturidade operacional onde um subconjunto acionável de dados curados é preferido em frente a um arquivo completo e inabalável.
O que isso significa para equipes de segurança e administradores? Na prática, a transição aconselha reforçar capacidades internas: conhecer bem o inventário de ativos, automatizar a ingestão de feeds de exploração real (como a KEV), integrar informações de ameaças em processos de priorização e garantir que as ferramentas próprias aproveitem escores e métricas de exploração em tempo real. Também convém manter canais diretos com fornecedores de software e autoridades de numeração de CVE para receber avisos precoces e adesivos.
Em última análise, a decisão de NIST sublinha uma lição clara do ambiente actual: a quantidade de vulnerabilidades cresce a um ritmo que torna inviável um tratamento manual e uniforme. O foco se desloca desde a exaustividade para a eficácia operacional, selecionando recursos para mitigar o que ameaça o ecossistema em seu conjunto. Para se defender, as organizações terão de acelerar sua passagem para automação, orquestração e colaboração com fontes de inteligência externas, porque aquilo que os defensores não priorizem o fará, sem dúvida, algum atacante.
Para seguir as atualizações oficiais e consultar os novos estados das vulnerabilidades, o ponto de partida é a própria NVD em https://nvd.nist.gov/, e para conhecer as vulnerabilidades exploradas ativamente, convém rever o catálogo KEV da CISA. O guia-quadro sobre software crítico e a intenção de priorização estão no texto executivo publicado pela Casa Branca em relação ao Executive Order 14028, que continua a orientar muitas destas decisões de política pública.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...