Il filo conduttore di oggi è la distanza tra “esiste una patch” e “la patch è stata davvero applicata.” Due falle sfruttate di Defender raggiungono una scadenza federale per l'applicazione delle patch, Android chiude un bug sfruttato in-the-wild, un RCE nel backend di GitHub resta non corretto nella maggior parte delle istanze self-hosted, e una fuga di identità ricorda a tutti che i dati esposti sopravvivono a qualsiasi ciclo di patch.
In sintesi: rispetta la scadenza CISA KEV per i due CVE di Microsoft Defender, distribuisci l'aggiornamento Android di giugno per chiudere il bug di Framework sotto sfruttamento attivo, applica la patch a GitHub Enterprise Server contro il CVE-2026-3854 se sei tra l'88% che non l'ha ancora fatto, e tratta la presunta fuga di Grindr come un problema di rotazione delle credenziali e account takeover, non solo come un titolo sulla privacy.
La CISA ha aggiunto il CVE-2026-41091 e il CVE-2026-45498 al suo catalogo delle Vulnerabilità Sfruttate Note (KEV), con scadenza di remediation fissata al 3 giugno 2026 per le agenzie civili federali. Il CVE-2026-41091 (CVSS 7.8) può consentire a un attaccante di ottenere privilegi SYSTEM, mentre il CVE-2026-45498 (CVSS 4.0) è un bug di negazione del servizio che colpisce Defender. L'inserimento nel KEV è il segnale più chiaro che lo sfruttamento è reale, non teorico.
L'aggiornamento Android di giugno 2026 di Google corregge 124 vulnerabilità, inclusa una falla di Framework ad alta gravità, CVE-2025-48595 (CVSS 8.4), che è sotto sfruttamento attivo e consente l'escalation dei privilegi senza interazione dell'utente. L'escalation senza interazione è il tipo più pericoloso perché elimina il consiglio “non toccare il link” come misura di controllo.
Il CVE-2026-3854, divulgato da Wiz, è stata una falla critica di esecuzione di codice remoto nell'infrastruttura Git interna di GitHub: un utente autenticato poteva eseguire comandi arbitrari sui nodi di backend con un singolo git push, e questi nodi avevano accesso a milioni di repository pubblici e privati. GitHub.com è stato corretto lo stesso giorno della segnalazione e non ha riscontrato abusi in-the-wild, ma, alla divulgazione pubblica, circa l'88% delle istanze di GitHub Enterprise Server era ancora non corretto.
Una fuga di dati segnalata il 3 giugno 2026 espone presumibilmente password e dati di posizione degli utenti di Grindr. Anche se non confermata, le credenziali esposte e la cronologia di posizione precisa hanno un impatto elevato: le password vengono riutilizzate tra i servizi, e i dati di posizione creano rischi reali di sicurezza fisica e di estorsione per una base di utenti sensibile.
Conclusione: il rischio di oggi non è la mancanza di patch — è la latenza nell'applicazione delle patch e l'esposizione irreversibile. Le scadenze KEV, gli aggiornamenti mobili e i backend self-hosted ti proteggono solo dopo essere stati applicati, e i dati di identità trapelati non smettono mai di essere trapelati.
KENSAI aiuta i team a individuare software edge non corretto, infrastruttura self-hosted esposta, flussi di identità fragili e rischio di credenziali riutilizzate su tutta la superficie di attacco.
Avvia Scansione Gratuita →Resta vigile.
🗡️ Team di Sicurezza KENSAI