آسیب‌پذیری CVE-2026-26222 در Altec DocLink به دلیل فعال بودن .NET Remoting بدون احراز هویت و وجود دیسریال‌سازی ناامن، امکان ارسال اشیای مخرب از راه دور را فراهم می‌کند. این نقص می‌تواند منجر به خواندن/نوشتن فایل، افشای احراز هویت SMB و حتی اجرای کد از راه دور (RCE) شود و به دلیل عدم نیاز به لاگین، ریسک آن بسیار بالاست.

سه آسیب‌پذیری بحرانی CVE-2025-30411، CVE-2025-30412 و CVE-2025-30416 (هر کدام با امتیاز CVSS 10.0) در Acronis Cyber Protect (نسخه‌های ۱۵ و ۱۶ پیش از بیلدهای 41800 و 39938) به دلیل نقص در احراز هویت نادرست و عدم کنترل مجوز دسترسی (Missing Authorization) شناسایی شده‌اند که به مهاجم بدون نیاز به احراز هویت یا مجوز قبلی اجازه افشا و دستکاری داده‌های حساس را می‌دهد. این نواقص از راه دور و با پیچیدگی پایین قابل بهره‌برداری هستند و می‌توانند منجر به دسترسی غیرمجاز به اطلاعات پشتیبان‌گیری، تغییر تنظیمات امنیتی، تخریب داده‌ها و اختلال جدی در سرویس‌های حفاظت سایبری سازمانی شوند.

آسیب‌پذیری CVE-2026-2630 (امتیاز CVSS 8.8) یک نقص تزریق فرمان (Command Injection) بحرانی در Tenable Security Center است که به مهاجم احراز هویت‌شده اجازه اجرای دستورات دلخواه با سطح دسترسی سرویس روی سرور مرکزی را می‌دهد. این نقص از راه دور و بدون نیاز به تعامل کاربر قابل بهره‌برداری است و می‌تواند منجر به کنترل کامل سرور، سرقت داده‌های حساس اسکن‌های امنیتی، دستکاری گزارش‌ها و ایجاد دسترسی جانبی به شبکه داخلی سازمان شود.

CVE-2026-2577 یک آسیب‌پذیری بحرانی با شدت 10 در مؤلفه WhatsApp bridge نرم‌افزار Nanobot است که به‌دلیل اجرای سرور WebSocket روی 0.0.0.0 و نبود احراز هویت ایجاد شده است. مهاجم با دسترسی شبکه می‌تواند بدون مجوز به سرور متصل شده و کنترل کامل نشست واتساپ کاربر (ارسال و مشاهده پیام‌ها و دریافت QR احراز هویت) را در اختیار بگیرد.

آسیب‌پذیری بحرانی CVE-2026-1306 با امتیاز 9.8 در افزونه midi-Synth وردپرس به دلیل امکان آپلود فایل بدون احراز هویت شناسایی شده است. مهاجم با استخراج nonce از کد جاوااسکریپت و ارسال درخواست HTTP به عملیات export می‌تواند فایل مخرب بارگذاری کرده و در شرایطی اجرای کد از راه دور (RCE) انجام دهد.

CVE-2026-26369 یک ضعف بحرانی در سرور eNet SMART HOME نسخه‌های 2.2.1 و 2.3.1 است که به دلیل نبود کنترل صحیح مجوز در متد setUserGroup، به کاربر عادی اجازه می‌دهد از طریق JSON-RPC سطح دسترسی خود را به مدیر ارتقا دهد. این آسیب‌پذیری با پیچیدگی پایین قابل بهره‌برداری بوده و می‌تواند منجر به کنترل کامل سامانه خانه هوشمند و ایجاد پیامدهای امنیتی و حتی فیزیکی شود.

آسیب‌پذیری CVE-2025-66630 (شدت 9.2) در فریم‌ورک Fiber به دلیل عدم بررسی خطای تولید اعداد تصادفی امن در Go <1.24 رخ می‌دهد و باعث تولید UUIDهای قابل پیش‌بینی یا تکراری می‌شود. این نقص امنیت Sessions، CSRF، Rate Limiting و Request-ID را به خطر می‌اندازد؛ نسخه‌های قبل از 2.52.11 آسیب‌پذیرند و در 2.52.11 رفع شده است.

آسیب‌پذیری CVE-2025-15027 (شدت 9.8) در افزونه JAY Login & Register وردپرس به دلیل عدم اعتبارسنجی مناسب، امکان تغییر دلخواه متادیتای کاربران و ارتقای نقش به Administrator بدون احراز هویت را می‌دهد. تمام نسخه‌های تا 2.6.03 آسیب‌پذیرند؛ سوءاستفاده ساده و از راه دور است و به‌روزرسانی فوری ضروری می‌باشد.

آسیب‌پذیری CVE-2026-25641 (شدت 10) در SandboxJS به دلیل تفاوت کلید اعتبارسنجی و کلید دسترسی واقعی، امکان دور زدن سندباکس و اجرای کد دلخواه را فراهم می‌کند. این نقص نسخه‌های قبل از 0.8.29 را تحت تأثیر قرار داده و در نسخه 0.8.29 رفع شده است.

آسیب‌پذیری CVE-2026-1699 با شدت ۱۰ در گردش‌کار GitHub Actions پروژه Eclipse Theia ناشی از استفاده ناامن از pull_request_target است که اجازه اجرای کد دلخواه هر کاربر GitHub را در محیط CI می‌داد. این نقص دسترسی به اسرار مخزن و توکن‌های قدرتمند را فراهم می‌کرد و می‌توانست به انتشار بسته‌های مخرب، تغییر وب‌سایت رسمی یا به خطر افتادن کامل زنجیره تأمین نرم‌افزار منجر شود.