El hilo común de hoy es la distancia entre «existe una solución» y «la solución está realmente aplicada». Dos fallos explotados de Defender alcanzan una fecha límite federal de parcheo, Android cierra un bug explotado en activo, una RCE del backend de GitHub sigue sin parchear en la mayoría de instancias autoalojadas, y una filtración de identidad recuerda que los datos expuestos sobreviven a cualquier ciclo de parches.
En resumen: cumple la fecha límite CISA KEV para los dos CVE de Microsoft Defender, despliega la actualización de Android de junio para cerrar el bug de Framework explotado activamente, parchea GitHub Enterprise Server contra CVE-2026-3854 si estás en el 88% que aún no lo ha hecho, y trata la supuesta filtración de Grindr como un problema de rotación de credenciales y robo de cuentas, no solo como un titular de privacidad.
CISA añadió CVE-2026-41091 y CVE-2026-45498 a su catálogo de vulnerabilidades explotadas conocidas, con una fecha límite de remediación del 3 de junio de 2026 para las agencias civiles federales. CVE-2026-41091 (CVSS 7.8) puede permitir que un atacante obtenga privilegios SYSTEM, mientras que CVE-2026-45498 (CVSS 4.0) es un bug de denegación de servicio que afecta a Defender. Una entrada en KEV es la señal más clara de que la explotación es real, no teórica.
La actualización de Android de junio de 2026 de Google corrige 124 vulnerabilidades, incluido un fallo de Framework de alta gravedad, CVE-2025-48595 (CVSS 8.4), que está bajo explotación activa y permite escalar privilegios sin interacción del usuario. La escalada sin interacción es la más peligrosa porque elimina el consejo de «no toques el enlace» como control.
El CVE-2026-3854 divulgado por Wiz era un fallo crítico de ejecución remota de código en la infraestructura Git interna de GitHub: un usuario autenticado podía ejecutar comandos arbitrarios en los nodos del backend con un solo git push, y esos nodos tenían acceso a millones de repositorios públicos y privados. GitHub.com se corrigió el mismo día en que se notificó y no halló abuso en activo, pero en la divulgación pública alrededor del 88% de las instancias de GitHub Enterprise Server seguían sin parchear.
Una filtración de datos reportada el 3 de junio de 2026 supuestamente expone contraseñas y datos de ubicación de usuarios de Grindr. Aunque no esté confirmada, las credenciales expuestas y el historial preciso de ubicación son de alto impacto: las contraseñas se reutilizan entre servicios y los datos de ubicación crean riesgos reales de seguridad y extorsión para una base de usuarios sensible.
En conclusión: el riesgo de hoy no es la falta de soluciones, sino la latencia del parcheo y la exposición irreversible. Las fechas límite KEV, las actualizaciones móviles y los backends autoalojados solo te protegen una vez aplicados, y los datos de identidad filtrados nunca se «desfiltran».
KENSAI ayuda a los equipos a detectar software perimetral sin parchear, infraestructura autoalojada expuesta, flujos de identidad débiles y riesgo de credenciales reutilizadas en toda su superficie de ataque.
Iniciar escaneo gratis →Mantente alerta.
🗡️ Equipo de Seguridad KENSAI