O fio condutor de hoje é a distância entre “existe uma correção” e “a correção foi realmente aplicada.” Duas falhas exploradas do Defender atingem um prazo federal de aplicação de patches, o Android fecha um bug explorado in-the-wild, um RCE no backend do GitHub continua sem correção na maioria das instâncias auto-hospedadas, e um vazamento de identidade lembra a todos que dados expostos sobrevivem a qualquer ciclo de patch.
Resumo: cumpra o prazo da CISA KEV para os dois CVEs do Microsoft Defender, implante a atualização de junho do Android para fechar o bug de Framework sob exploração ativa, corrija o GitHub Enterprise Server contra o CVE-2026-3854 se você estiver entre os 88% que ainda não o fizeram, e trate o suposto vazamento do Grindr como um problema de rotação de credenciais e tomada de contas, não apenas como uma manchete de privacidade.
A CISA adicionou o CVE-2026-41091 e o CVE-2026-45498 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com prazo de remediação em 3 de junho de 2026 para as agências civis federais. O CVE-2026-41091 (CVSS 7.8) pode permitir que um atacante obtenha privilégios de SYSTEM, enquanto o CVE-2026-45498 (CVSS 4.0) é um bug de negação de serviço que afeta o Defender. Uma inclusão no KEV é o sinal mais claro de que a exploração é real, não teórica.
A atualização do Android de junho de 2026 do Google corrige 124 vulnerabilidades, incluindo uma falha de Framework de alta severidade, CVE-2025-48595 (CVSS 8.4), que está sob exploração ativa e permite escalonamento de privilégios sem interação do usuário. O escalonamento sem interação é o tipo mais perigoso porque elimina o conselho “não toque no link” como medida de controle.
O CVE-2026-3854, divulgado pela Wiz, foi uma falha crítica de execução remota de código na infraestrutura Git interna do GitHub: um usuário autenticado podia executar comandos arbitrários nos nós de backend com um único git push, e esses nós tinham acesso a milhões de repositórios públicos e privados. O GitHub.com foi corrigido no mesmo dia em que foi reportado e não encontrou abuso in-the-wild, mas, na divulgação pública, cerca de 88% das instâncias do GitHub Enterprise Server ainda estavam sem correção.
Um vazamento de dados reportado em 3 de junho de 2026 supostamente expõe senhas e dados de localização de usuários do Grindr. Mesmo não confirmado, credenciais expostas e histórico de localização preciso têm alto impacto: senhas são reutilizadas entre serviços, e os dados de localização criam riscos reais de segurança física e extorsão para uma base de usuários sensível.
Conclusão: o risco de hoje não é a falta de correções — é a latência na aplicação de patches e a exposição irreversível. Prazos do KEV, atualizações móveis e backends auto-hospedados só protegem você depois de aplicados, e dados de identidade vazados nunca deixam de estar vazados.
A KENSAI ajuda as equipes a identificar software de borda sem correção, infraestrutura auto-hospedada exposta, fluxos de identidade frágeis e risco de credenciais reutilizadas em toda a sua superfície de ataque.
Iniciar Scan Gratuito →Mantenha-se atento.
🗡️ Equipe de Segurança KENSAI