آسیب‌پذیری CVE-2025-64486 در calibre با شدت 9.3 اجازه می‌دهد مهاجم با باز کردن فایل FB2 مخرب، فایل‌هایی با نام دلخواه روی سیستم قربانی بنویسد. این ضعف تا نسخه 8.13.0 وجود دارد و می‌تواند منجر به اجرای کد شود؛ به‌روزرسانی به 8.14.0 راه‌حل فوری و مؤثر است.

افزونه Doccure Core وردپرس ابزاری برای مدیریت و رزرو نوبت پزشکی است که امکاناتی مانند تعیین نقش کاربران و ارائه اطلاعات پزشکی آنلاین را فراهم می‌کند. نسخه‌های قبل از 1.5.4 دارای آسیب‌پذیری افزایش سطح دسترسی هستند که به مهاجمان اجازه می‌دهد با تعیین نقش مدیر هنگام ثبت‌نام، کنترل بیشتری به دست آورند.

آسیب‌پذیری CVE-2025-64095 با شدت ۱۰ در ویرایشگر HTML پلتفرم DNN امکان آپلود فایل اجرایی و نصب web-shell بدون احراز هویت را فراهم می‌کند. این نقص منجر به اجرای کد از راه دور، تخریب داده‌ها و تسلط بر سرور می‌شود و نیازمند وصله فوری یا اقدامات حفاظتی جایگزین است.

آسیب‌پذیری CVE-2025-9164 در نصب‌کننده‌ی Docker Desktop برای ویندوز با شدت 8.8، ناشی از تزریق ترتیب جستجوی DLL است که امکان اجرای کد مخرب با سطح دسترسی بالا را فراهم می‌کند. مهاجم با دسترسی محدود و بدون دخالت کاربر می‌تواند از مسیرهای قابل‌نوشتن مانند Downloads سوءاستفاده کرده و باعث ارتقای سطح دسترسی و اختلال شدید در سیستم شود.

چهار آسیب‌پذیری بحرانی با شدت ۱۰ در Azure Access OS امکان اجرای کد مخرب، دور زدن احراز هویت، و ایجاد اختلال کامل در سیستم را فراهم می‌کنند. این ضعف‌ها ناشی از مدیریت ناقص نصب نرم‌افزار، گذرواژه‌های پیش‌فرض، وابستگی به کتابخانه‌های ناامن، و استفاده از BusyBox آسیب‌پذیر هستند.

یک آسیب‌پذیری در TOTOLINK A702R نسخه 4.0.0-B20211108.1423 یافت شده است. این آسیب‌پذیری تابع  sub_4162DC  در فایل  /boafrm/formFilter  را تحت تأثیر قرار می‌دهد.

افزونه RegistrationMagic در نسخه‌های قبل از 3.7.9.3 دارای آسیب‌پذیری تزریق شیء PHP از طریق سریال‌زدایی ورودی غیرقابل‌اعتماد است که به مهاجمان بدون احراز هویت امکان اجرای کد مخرب را می‌دهد. استفاده از زنجیره POP نیز می‌تواند منجر به نصب فایل از راه دور روی سایت شود.

در محصول Veeam Backup & Replication دو آسیب‌پذیری بحرانی با شدت 9.9 کشف‌شده است که می‌توانند امنیت زیرساخت‌های پشتیبان را به‌طور جدی به‌خطر اندازند.

آسیب‌پذیری بحرانی CVE-2025-42937 در SAPSprint به مهاجم راه دور اجازه می‌دهد بدون احراز هویت از طریق Directory Traversal به فایل‌های حساس سیستم دسترسی یابد. این نقص می‌تواند منجر به افشای اطلاعات، تغییر تنظیمات یا اجرای کد مخرب روی سرور شود.

در نسخه‌های خاصی از Elastic Cloud Enterprise، ضعف در خنثی‌سازی عناصر قالب باعث می‌شود مهاجم با دسترسی Admin بتواند از طریق متغیرهای Jinjava اطلاعات حساس را استخراج و دستورات دلخواه اجرا کند. این حمله تنها در صورت دسترسی به کنسول مدیریتی و فعال بودن Logging+Metrics قابل بهره‌برداری است.