آسیب‌پذیری CVE-2026-33453 در مؤلفه camel-coap در Apache Camel به دلیل فیلتر نشدن پارامترهای query درخواست‌های CoAP رخ می‌دهد و این پارامترها مستقیماً به headerهای پیام Camel تبدیل می‌شوند، که امکان تزریق headerهای داخلی Camel را برای مهاجم فراهم می‌کند. اگر route این پیام‌ها را به producerهای حساس به header مانند camel-exec، camel-sql یا camel-bean بفرستد، مهاجم می‌تواند رفتار آن‌ها را تغییر داده و در سناریوی camel-exec حتی منجر به اجرای دستور روی سیستم‌عامل شود.

آسیب‌پذیری CVE-2026-41492 در Dgraph با شدت 9.8 باعث می‌شود endpoint بدون احراز هویت /debug/vars اطلاعات خط فرمان پردازش را افشا کند. این افشا می‌تواند توکن مدیریتی Dgraph را لو دهد و مهاجم با استفاده از آن در هدر X-Dgraph-AuthToken به endpointهای مدیریتی دسترسی غیرمجاز بگیرد.

یک آسیب‌پذیری بحرانی در کتابخانه Axios با شناسه CVE-2026-40175 کشف شده که به دلیل پاک‌سازی نشدن صحیح headerها می‌تواند به Prototype Pollution و سپس اجرای کد از راه دور (RCE) منجر شود. این ضعف حتی امکان دور زدن AWS IMDSv2 و تصرف محیط‌های ابری را فراهم می‌کند و شدت آن Critical با امتیاز CVSS 9.9 اعلام شده است.

آسیب‌پذیری CVE-2026-35616 با شدت 9.8 در Fortinet FortiClient EMS به مهاجم غیرمجاز امکان می‌دهد کنترل کامل سرور مدیریتی را به دست بگیرد و از آن برای compromise کردن تمام endpointهای متصل استفاده کند. این ضعف به‌صورت گسترده در حملات واقعی بهره‌برداری می‌شود و خطر آن بسیار بالاست.

این آسیب‌پذیری با شدت 9.8 به دلیل استفاده از نام‌کاربری و رمز عبور پیش‌فرض در دستگاه SODOLA SL902-SWTGW124AS باعث دسترسی کامل مهاجم به پنل مدیریت از راه دور می‌شود. برای کاهش ریسک باید فوراً رمز پیش‌فرض تغییر یابد و دسترسی مدیریتی محدود، همراه با لاگ‌برداری و مانیتورینگ فعال شود.

آسیب‌پذیری CVE-2026-26222 در Altec DocLink به دلیل فعال بودن .NET Remoting بدون احراز هویت و وجود دیسریال‌سازی ناامن، امکان ارسال اشیای مخرب از راه دور را فراهم می‌کند. این نقص می‌تواند منجر به خواندن/نوشتن فایل، افشای احراز هویت SMB و حتی اجرای کد از راه دور (RCE) شود و به دلیل عدم نیاز به لاگین، ریسک آن بسیار بالاست.

سه آسیب‌پذیری بحرانی CVE-2025-30411، CVE-2025-30412 و CVE-2025-30416 (هر کدام با امتیاز CVSS 10.0) در Acronis Cyber Protect (نسخه‌های ۱۵ و ۱۶ پیش از بیلدهای 41800 و 39938) به دلیل نقص در احراز هویت نادرست و عدم کنترل مجوز دسترسی (Missing Authorization) شناسایی شده‌اند که به مهاجم بدون نیاز به احراز هویت یا مجوز قبلی اجازه افشا و دستکاری داده‌های حساس را می‌دهد. این نواقص از راه دور و با پیچیدگی پایین قابل بهره‌برداری هستند و می‌توانند منجر به دسترسی غیرمجاز به اطلاعات پشتیبان‌گیری، تغییر تنظیمات امنیتی، تخریب داده‌ها و اختلال جدی در سرویس‌های حفاظت سایبری سازمانی شوند.

آسیب‌پذیری CVE-2026-2630 (امتیاز CVSS 8.8) یک نقص تزریق فرمان (Command Injection) بحرانی در Tenable Security Center است که به مهاجم احراز هویت‌شده اجازه اجرای دستورات دلخواه با سطح دسترسی سرویس روی سرور مرکزی را می‌دهد. این نقص از راه دور و بدون نیاز به تعامل کاربر قابل بهره‌برداری است و می‌تواند منجر به کنترل کامل سرور، سرقت داده‌های حساس اسکن‌های امنیتی، دستکاری گزارش‌ها و ایجاد دسترسی جانبی به شبکه داخلی سازمان شود.

CVE-2026-2577 یک آسیب‌پذیری بحرانی با شدت 10 در مؤلفه WhatsApp bridge نرم‌افزار Nanobot است که به‌دلیل اجرای سرور WebSocket روی 0.0.0.0 و نبود احراز هویت ایجاد شده است. مهاجم با دسترسی شبکه می‌تواند بدون مجوز به سرور متصل شده و کنترل کامل نشست واتساپ کاربر (ارسال و مشاهده پیام‌ها و دریافت QR احراز هویت) را در اختیار بگیرد.

آسیب‌پذیری بحرانی CVE-2026-1306 با امتیاز 9.8 در افزونه midi-Synth وردپرس به دلیل امکان آپلود فایل بدون احراز هویت شناسایی شده است. مهاجم با استخراج nonce از کد جاوااسکریپت و ارسال درخواست HTTP به عملیات export می‌تواند فایل مخرب بارگذاری کرده و در شرایطی اجرای کد از راه دور (RCE) انجام دهد.