در محصول Veeam Backup & Replication دو آسیب‌پذیری بحرانی با شدت 9.9 کشف‌شده است که می‌توانند امنیت زیرساخت‌های پشتیبان را به‌طور جدی به‌خطر اندازند.

آسیب‌پذیری بحرانی CVE-2025-42937 در SAPSprint به مهاجم راه دور اجازه می‌دهد بدون احراز هویت از طریق Directory Traversal به فایل‌های حساس سیستم دسترسی یابد. این نقص می‌تواند منجر به افشای اطلاعات، تغییر تنظیمات یا اجرای کد مخرب روی سرور شود.

در نسخه‌های خاصی از Elastic Cloud Enterprise، ضعف در خنثی‌سازی عناصر قالب باعث می‌شود مهاجم با دسترسی Admin بتواند از طریق متغیرهای Jinjava اطلاعات حساس را استخراج و دستورات دلخواه اجرا کند. این حمله تنها در صورت دسترسی به کنسول مدیریتی و فعال بودن Logging+Metrics قابل بهره‌برداری است.

آسیب‌پذیری CVE-2025-53967 با شدت 8 از 10 در Framelink Figma MCP Server به مهاجم اجازه می‌دهد بدون احراز هویت و تعامل کاربر، از طریق شبکه مجاور دستورات سیستم‌عامل را اجرا کند. این نقص ناشی از پاک‌سازی ناقص ورودی‌ها در تابع fetchWithRetry است و می‌تواند منجر به افشای اطلاعات و دستکاری داده‌ها شود.

آسیب‌پذیری بحرانی CVE-2025-6439 در افزونه Ovatheme Events Manager وردپرس امکان آپلود فایل مخرب بدون احراز هویت را فراهم می‌کند. این نقص منجر به اجرای کد از راه دور و کنترل کامل وب‌سایت توسط مهاجم می‌شود.

کارگاه تخصصی مرکز آپای دانشگاه سمنان با محوریت طرح شهید زاهدی، نقش آن در ارتقای تاب‌آوری سایبری سازمان‌ها را در راستای شعار هفته پدافند غیرعامل ۱۴۰۴ بررسی می‌کند.

آسیب‌پذیری CVE-2025-62376 در pwn.college DOJO با شدت 9.5 به مهاجم اجازه می‌دهد بدون احراز هویت معتبر به دسکتاپ کاربران دیگر دسترسی کامل پیدا کند و کد مخرب اجرا کند.

در نسخه‌های قبل از ۷.۲، Squid هنگام نمایش پیام‌های خطا اطلاعات احراز هویت HTTP را به‌درستی پاک‌سازی نمی‌کرد و باعث افشای اعتبارنامه‌ها می‌شد. این آسیب‌پذیری به مهاجم اجازه می‌دهد بدون نیاز به پیکربندی خاص، توکن‌های امنیتی کاربران را از طریق مرورگر استخراج کند.

یک آسیب‌پذیری بحرانی با شناسه CVE-2024-11237 و شدت 8.7(بالا) در روتر TP-Link مدل VN020 F3v کشف شده است. این نقص امنیتی از نوع Buffer Overflow در سرویس DHCP ایجاد شده است

یک آسیب‌پذیری با شناسه CVE-2024-10589 و شدت 9.8 (بحرانی) در افزونه Leopard – WordPress شناسایی شده است. این نقص امنیتی به مهاجم امکان می‌دهد از راه دور و بدون نیاز به دسترسی اولیه، با تغییر آرگومان‌های تابع import_settings() به سطح دسترسی مدیر برسد و تنظیمات دلخواه را در سایت اعمال کند.