आज का साझा सूत्र यह है कि “एक फिक्स मौजूद है” और “फिक्स वास्तव में लागू है” के बीच का अंतर। दो शोषित Defender खामियाँ एक संघीय पैच समय-सीमा तक पहुँचती हैं, Android एक इन-द-वाइल्ड बग को बंद करता है, एक GitHub बैकएंड RCE अधिकांश सेल्फ-होस्टेड इंस्टेंसेस पर अभी भी अनपैच्ड बैठा है, और एक पहचान लीक सबको याद दिलाता है कि उजागर डेटा किसी भी एकल पैच चक्र से अधिक समय तक रहता है।
मुख्य बात: दो Microsoft Defender CVEs के लिए CISA KEV समय-सीमा पूरी करें, सक्रिय रूप से शोषित Framework बग को बंद करने के लिए जून का Android अपडेट पुश करें, यदि आप उन 88% में हैं जिन्होंने नहीं किया है तो GitHub Enterprise Server को CVE-2026-3854 के विरुद्ध पैच करें, और कथित Grindr लीक को केवल एक गोपनीयता समस्या नहीं, बल्कि एक क्रेडेंशियल-रोटेशन और अकाउंट-टेकओवर समस्या मानें।
CISA ने CVE-2026-41091 और CVE-2026-45498 को अपने Known Exploited Vulnerabilities कैटलॉग में जोड़ा, जिसमें संघीय नागरिक एजेंसियों के लिए 3 जून 2026 की उपचार समय-सीमा है। CVE-2026-41091 (CVSS 7.8) एक हमलावर को SYSTEM विशेषाधिकार प्राप्त करने दे सकती है, जबकि CVE-2026-45498 (CVSS 4.0) Defender को प्रभावित करने वाला एक डिनायल-ऑफ-सर्विस बग है। एक KEV लिस्टिंग सबसे स्पष्ट संकेत है कि शोषण वास्तविक है, सैद्धांतिक नहीं।
Google का जून 2026 Android अपडेट 124 कमजोरियों को संबोधित करता है, जिसमें एक उच्च-गंभीरता वाली Framework खामी, CVE-2025-48595 (CVSS 8.4) शामिल है, जो सक्रिय शोषण के अधीन है और बिना उपयोगकर्ता इंटरैक्शन के प्रिविलेज एस्केलेशन की अनुमति देती है। नो-इंटरैक्शन एस्केलेशन सबसे खतरनाक प्रकार है क्योंकि यह “लिंक पर टैप न करें” सलाह को एक नियंत्रण के रूप में हटा देता है।
Wiz द्वारा प्रकट CVE-2026-3854 GitHub के आंतरिक Git इन्फ्रास्ट्रक्चर में एक क्रिटिकल रिमोट कोड एक्ज़ीक्यूशन खामी थी: एक प्रमाणित उपयोगकर्ता एक ही git push से बैकएंड नोड्स पर मनमाने कमांड चला सकता था, और उन नोड्स के पास लाखों सार्वजनिक और निजी रिपॉज़िटरीज़ तक पहुँच थी। GitHub.com को रिपोर्ट किए जाने वाले दिन ही ठीक कर दिया गया और कोई इन-द-वाइल्ड दुरुपयोग नहीं मिला, लेकिन सार्वजनिक प्रकटीकरण के समय लगभग 88% GitHub Enterprise Server इंस्टेंसेस अभी भी अनपैच्ड थे।
3 जून 2026 को रिपोर्ट किया गया एक डेटा लीक कथित तौर पर Grindr उपयोगकर्ताओं के पासवर्ड और लोकेशन डेटा को उजागर करता है। अपुष्ट होने पर भी, उजागर क्रेडेंशियल और सटीक लोकेशन इतिहास उच्च-प्रभाव वाले हैं: पासवर्ड सेवाओं में पुनः उपयोग किए जाते हैं, और लोकेशन डेटा एक संवेदनशील उपयोगकर्ता आधार के लिए वास्तविक-दुनिया की सुरक्षा और जबरन वसूली का जोखिम पैदा करता है।
निचली पंक्ति: आज का जोखिम फिक्स की कमी नहीं है — यह पैच लेटेंसी और अपरिवर्तनीय एक्सपोज़र है। KEV समय-सीमाएँ, मोबाइल अपडेट, और सेल्फ-होस्टेड बैकएंड केवल लागू होने के बाद ही आपकी रक्षा करते हैं, और लीक हुआ पहचान डेटा कभी अन-लीक नहीं होता।
KENSAI टीमों को उनके अटैक सरफेस में अनपैच्ड एज सॉफ़्टवेयर, उजागर सेल्फ-होस्टेड इन्फ्रास्ट्रक्चर, कमज़ोर पहचान फ्लो, और पुनः उपयोग किए गए क्रेडेंशियल जोखिम को पहचानने में मदद करता है।
मुफ़्त स्कैन शुरू करें →सतर्क रहें।
🗡️ KENSAI सुरक्षा टीम