- सीवीई-2026-24289, सीवीई-2026-26132 – विंडोज़ कर्नेल – विशेषाधिकार का उन्नयन (सीवीएसएस 7.8); स्मृति भ्रष्टाचार और उपयोग-बाद-मुक्त स्थितियाँ स्थानीय प्रमाणित सत्र से सिस्टम एस्केलेशन को सक्षम बनाती हैं।
- सीवीई-2026-25187 — विनलॉगऑन – विशेषाधिकार का उन्नयन (सीवीएसएस 7.8); द्वारा खोजा गया गूगल प्रोजेक्ट जीरो. प्रमाणीकरण पथ में विनलॉगॉन की स्थिति को देखते हुए, यह शोषण के बाद के लिए एक उच्च-मूल्य वाला लक्ष्य है।
- सीवीई-2026-24294 – विंडोज़ एसएमबी सर्वर – विशेषाधिकार का उन्नयन (सीवीएसएस 7.8); प्रमाणीकरण दोष SMB सक्षम वाले सिस्टम पर विशेषाधिकार वृद्धि की अनुमति देता है।
- सीवीई-2026-24291 – विंडोज एक्सेसिबिलिटी इंफ्रास्ट्रक्चर (ATBroker.exe) – विशेषाधिकार का उन्नयन (CVSS 7.8)।
- सीवीई-2026-23668 – विंडोज़ ग्राफ़िक्स घटक – विशेषाधिकार का उन्नयन (सीवीएसएस 7.0); दौड़ की स्थिति.
सक्रिय रूप से शोषण की गई कमजोरियों, किसी महत्वपूर्ण रेटिंग और सार्वजनिक रूप से प्रकट किए गए मुद्दों के बिना, यह साल का अब तक का सबसे शांत विंडोज महीना है। इन अद्यतनों को अपने मानक परिनियोजन शेड्यूल में जोड़ें। (काफ़ी अद्भुत, एह?)
माइक्रोसॉफ्ट ऑफिस
माइक्रोसॉफ्ट ऑफिस को 12 सुरक्षा सुधार मिले, जिनमें से तीन महत्वपूर्ण हैं। किसी का भी सक्रिय रूप से शोषण नहीं किया गया है या सार्वजनिक रूप से खुलासा नहीं किया गया है, और किसी को भी “शोषण की अधिक संभावना” के रूप में चिह्नित नहीं किया गया है – लेकिन हमले की सतह पर ध्यान देने की आवश्यकता है।
- सीवीई-2026-26113, सीवीई-2026-26110 — माइक्रोसॉफ्ट ऑफिस — रिमोट कोड निष्पादन (सीवीएसएस 8.4, महत्वपूर्ण)। दोनों एक आक्रमण वेक्टर के रूप में पूर्वावलोकन फलक की पुष्टि करते हैं – केवल आउटलुक या फ़ाइल एक्सप्लोरर में एक दुर्भावनापूर्ण फ़ाइल का पूर्वावलोकन करना उपयोगकर्ता के साथ आगे की बातचीत के बिना निष्पादन को ट्रिगर करने के लिए पर्याप्त है।
- सीवीई-2026-26144 — माइक्रोसॉफ्ट एक्सेल — सूचना प्रकटीकरण (सीवीएसएस 7.5, महत्वपूर्ण)। यह एक अनोखी भेद्यता है: एक नेटवर्क-सुलभ, शून्य-क्लिक डेटा निष्कासन पथ सह पायलट एजेंट मोड. किसी उपयोगकर्ता सहभागिता की आवश्यकता नहीं है. किसी सूचना प्रकटीकरण को महत्वपूर्ण रेटिंग देते हुए देखना असामान्य है, जो उजागर किए गए डेटा की संवेदनशीलता को दर्शाता है।
दो पूर्वावलोकन फलक आरसीई (सीवीई-2026-26113, सीवीई-2026-26110) इसे Office के लिए “पैच नाउ” रिलीज़ बनाएं। जो संगठन तुरंत तैनात नहीं कर सकते, उन्हें आउटलुक और फ़ाइल एक्सप्लोरर में पूर्वावलोकन फलक को अस्थायी रूप से अक्षम करने पर विचार करना चाहिए।
माइक्रोसॉफ्ट एसक्यूएल सर्वर और एक्सचेंज
SQL सर्वर में तीन उन्नयन-विशेषाधिकार भेद्यताएँ हैं, सभी CVSS 8.8, सभी प्रमाणित उपयोगकर्ताओं को नेटवर्क पर sysadmin तक बढ़ने में सक्षम बनाते हैं:
- सीवीई-2026-21262 – अनुचित अभिगम नियंत्रण। सार्वजनिक रूप से खुलासा (शून्य-दिन)। SQL सर्वर 2016 SP3 से 2025 तक प्रभावित करता है।
- सीवीई-2026-26115 – अनुचित इनपुट सत्यापन। SQL सर्वर 2016 SP3 से 2025 तक प्रभावित करता है।
- सीवीई-2026-26116 – एसक्यूएल इंजेक्शन। केवल SQL सर्वर 2025 को प्रभावित करता है।
CVE-2026-21262 इस महीने के दो शून्य दिनों में से एक है। जबकि “शोषण की संभावना कम है” रेटिंग दी गई है, सार्वजनिक प्रकटीकरण और व्यापक संस्करण कवरेज (प्रत्येक समर्थित संस्करण) SQL सर्वर वातावरण के लिए प्राथमिकता पैचिंग की गारंटी देता है। एक्सचेंज सर्वर को इस महीने कोई सुरक्षा अपडेट नहीं मिला है। इन SQL सर्वर अपडेट को अपने पैच नाउ शेड्यूल में जोड़ें।
डेवलपर उपकरण
मार्च के लिए, Microsoft .NET, ASP.NET कोर और Microsoft सिमेंटिक कर्नेल में चार कमजोरियों को संबोधित करता है, सभी को महत्वपूर्ण दर्जा दिया गया है, जिसमें निम्नलिखित शामिल हैं:
- सीवीई-2026-26127 — .NET — सेवा से इनकार (सीवीएसएस 7.5)। सार्वजनिक रूप से खुलासा (शून्य-दिन)। विंडोज़, मैकओएस और लिनक्स पर .NET 9.0 और 10.0 को प्रभावित करने वाला एक अप्रमाणित आउट-ऑफ-बाउंड रीड।
- सीवीई-2026-26130 — ASP.NET कोर — सेवा से इनकार (सीवीएसएस 7.5)। ASP.NET Core 8.0, 9.0 और 10.0 में अप्रमाणित संसाधन समाप्ति।
- सीवीई-2026-26030 – सिमेंटिक कर्नेल पायथन एसडीके – रिमोट कोड निष्पादन (सीवीएसएस 9.9)। InMemoryVectorStore में फ़िल्टर बायपास; शोषण के लिए फ़िल्टर पथ पर अविश्वसनीय इनपुट की आवश्यकता होती है। “शोषण असंभावित” रेटिंग दी गई है।
- सीवीई-2026-26131 — .NET 10.0 — विशेषाधिकार का उन्नयन (सीवीएसएस 7.8)। विंडोज़ पर ग़लत डिफ़ॉल्ट अनुमतियाँ।
दो अप्रमाणित DoS कमजोरियाँ इंटरनेट-फ़ेसिंग .NET और ASP.NET कोर सेवाओं के लिए प्राथमिकता हैं। CVE-2026-26127 इस महीने के दो शून्य दिनों में से दूसरा है। इन अद्यतनों को अपने “पैच नाउ” परिनियोजन शेड्यूल में जोड़ें।
Adobe (और तृतीय-पक्ष अपडेट)
Adobe (लेकिन Microsoft नहीं) ने एक एकल अद्यतन जारी किया है (एपीएसबी26-26) जो Adobe Reader और Acrobat को प्रभावित करता है। चूँकि आपने इसे यहाँ तक पहुँचाया है, इसकी नवीनता के लिए एक वस्तु चिन्हित करने लायक है: सीवीई-2026-21536 (सीवीएसएस 9.8), माइक्रोसॉफ्ट डिवाइसेस प्राइसिंग प्रोग्राम में एक महत्वपूर्ण अप्रमाणित रिमोट कोड निष्पादन भेद्यता, किसके द्वारा खोजी गई थी? XBOWएक स्वायत्त एआई-संचालित प्रवेश परीक्षण एजेंट। यह सार्वजनिक रूप से किसी एआई सुरक्षा शोधकर्ता को जिम्मेदार ठहराए गए Microsoft उत्पाद में पहले गंभीर-गंभीरता वाले CVEs में से एक है।