آسیب‌پذیری CVE-2026-1699 با شدت ۱۰ در گردش‌کار GitHub Actions پروژه Eclipse Theia ناشی از استفاده ناامن از pull_request_target است که اجازه اجرای کد دلخواه هر کاربر GitHub را در محیط CI می‌داد. این نقص دسترسی به اسرار مخزن و توکن‌های قدرتمند را فراهم می‌کرد و می‌توانست به انتشار بسته‌های مخرب، تغییر وب‌سایت رسمی یا به خطر افتادن کامل زنجیره تأمین نرم‌افزار منجر شود.

آسیب‌پذیری CVE-2026-24897 با شدت ۱۰ در Erugo (تا نسخه ۰.۲.۱۴) به دلیل اعتبارسنجی ناکافی مسیر، به کاربران کم‌مجوز اجازه آپلود فایل دلخواه در هر مسیری از سرور (از جمله ریشه وب) را می‌دهد. این نقص منجر به اجرای کد از راه دور (RCE) و تصاحب کامل سرور می‌شود؛ ارتقا فوری به نسخه ۰.۲.۱۵ ضروری است.

افزونه FS Registration Password وردپرس (CVE-2025-15001) با امتیاز ۹.۸ دارای نقص احراز هویت است که به مهاجم اجازه می‌دهد بدون نیاز به ورود، رمز عبور هر کاربری (از جمله ادمین) را تغییر دهد. این آسیب‌پذیری امکان تصاحب کامل سایت، نصب بدافزار و اجرای کد مخرب را فراهم می‌کند؛ بنابراین به‌روزرسانی فوری ضروری است.

آسیب‌پذیری CVE-2025-13773 با شدت بحرانی (۹.۸) در افزونه Print Invoice & Delivery Notes for WooCommerce وردپرس تا نسخه ۵.۸.۰، به دلیل نبود بررسی دسترسی و مشکلات در Dompdf و template.php، اجازه اجرای کد دلخواه بدون احراز هویت (RCE) را به مهاجمان می‌دهد.

آسیب‌پذیری CVE-2025-65856 با شدت بالا، ناشی از پیاده‌سازی نادرست پروتکل ONVIF در دوربین‌های Xiongmai XM530، اجازه می‌دهد مهاجمان راه دور بدون احراز هویت به endpointهای حساس دسترسی پیدا کنند. این نقص امکان مشاهده اطلاعات دستگاه، تنظیمات سیستمی و جریان زنده ویدئو را فراهم می‌کند و محرمانگی و حریم خصوصی کاربران را به شدت تهدید می‌نماید.

یک بسته SNMP مخرب در net-snmp نسخه‌های قدیمی باعث سرریز بافر و crash در سرویس snmptrapd می‌شود.

گزیده‌ای از کارگاه تخصصی "آینده شغلی در امنیت سایبری".

گزارشی تصویری از روزهای پربار نمایشگاه پژوهش و فناوری در استان سمنان.

امنیت سایبری، سنگ‌بنای جهان دیجیتال امروز است و در این نشست چشم‌اندازهای شغلی و مسیرهای تخصصی آن بررسی می‌شود. همراه شوید تا نگاهی روشن‌تر و آینده‌محور به این حوزه استراتژیک به دست آورید.

افزونه StreamTube Core تا نسخه 4.74 دارای آسیب‌پذیری جدی است که امکان تغییر رمز عبور کاربران بدون احراز هویت را فراهم می‌کند. این نقص در صورت فعال بودن گزینه registration password fields می‌تواند به تصاحب حساب‌ها، حتی حساب مدیر سایت، منجر شود