De rode draad van vandaag is het gat tussen “er bestaat een fix” en “de fix is daadwerkelijk toegepast.” Twee misbruikte Defender-lekken bereiken een federale patch-deadline, Android dicht een bug die in het wild wordt misbruikt, een GitHub-backend-RCE staat nog ongepatcht op de meeste self-hosted instances, en een identiteitslek herinnert iedereen eraan dat blootgestelde data elke patch-cyclus overleeft.
Kort samengevat: haal de CISA KEV-deadline voor de twee Microsoft Defender-CVE's, rol de Android-update van juni uit om de actief misbruikte Framework-bug te dichten, patch GitHub Enterprise Server tegen CVE-2026-3854 als je tot de 88% behoort die dat nog niet deed, en behandel het vermeende Grindr-lek als een probleem van wachtwoordrotatie en accountovername, niet alleen als een privacykwestie.
CISA voegde CVE-2026-41091 en CVE-2026-45498 toe aan zijn catalogus van Known Exploited Vulnerabilities, met een herstel-deadline van 3 juni 2026 voor federale civiele instanties. CVE-2026-41091 (CVSS 7.8) kan een aanvaller SYSTEM-rechten geven, terwijl CVE-2026-45498 (CVSS 4.0) een denial-of-service-bug is die Defender treft. Een KEV-vermelding is het duidelijkste signaal dat misbruik echt is, niet theoretisch.
De Android-update van Google van juni 2026 verhelpt 124 kwetsbaarheden, waaronder een Framework-lek met hoge ernst, CVE-2025-48595 (CVSS 8.4), dat actief wordt misbruikt en privilege-escalatie zonder gebruikersinteractie mogelijk maakt. Escalatie zonder interactie is de gevaarlijkste soort, omdat het advies “klik niet op de link” daarmee als beveiligingsmaatregel wegvalt.
De door Wiz onthulde CVE-2026-3854 was een kritieke remote-code-execution-bug in de interne Git-infrastructuur van GitHub: een geauthenticeerde gebruiker kon met één enkele git push willekeurige commando's uitvoeren op backend-nodes, en die nodes hadden toegang tot miljoenen publieke en private repositories. GitHub.com werd gefixt op de dag dat het werd gemeld en vond geen misbruik in het wild, maar bij de openbaarmaking was ongeveer 88% van de GitHub Enterprise Server-instances nog ongepatcht.
Een datalek dat op 3 juni 2026 werd gemeld zou wachtwoorden en locatiegegevens van Grindr-gebruikers blootleggen. Zelfs onbevestigd zijn blootgestelde inloggegevens en nauwkeurige locatiegeschiedenis zeer impactvol: wachtwoorden worden hergebruikt over diensten heen, en locatiedata levert reëel veiligheids- en afpersingsrisico op voor een gevoelige gebruikersgroep.
Conclusie: het risico van vandaag is geen gebrek aan fixes — het is patch-latentie en onomkeerbare blootstelling. KEV-deadlines, mobiele updates en self-hosted backends beschermen je pas zodra ze zijn toegepast, en gelekte identiteitsgegevens worden nooit meer “ongelekt”.
KENSAI helpt teams ongepatchte edge-software, blootgestelde self-hosted infrastructuur, zwakke identiteitsflows en risico op hergebruikte inloggegevens over hun aanvalsoppervlak op te sporen.
Start gratis scan →Blijf scherp.
🗡️ KENSAI Security Team