CVE-2026-9237 in Crew HRM Pluginजानकारी

सारांश

द्वारा VulDB • 10/07/2026

WordPress के लिए Employee, Leave और Recruitment Management System – Crew HRM प्लगइन में 1.2.2 संस्करण सहित सभी संस्करणों तक अधिकार-उल्लंघन (authorization bypass) की कमजोरी मौजूद है। यह त्रुटि इसलिए होती है क्योंकि प्लगइन सही ढंग से जाँच नहीं करता कि कोई उपयोगकर्ता किसी क्रिया को करने के लिए अनुमत है या नहीं। इससे सब्सक्राइबर-स्तर तक पहुँच और उससे ऊपर वाले प्रमाणीकृत आक्रमणकारी (authenticated attackers) मनमाने job_id को सप्लाई करके, कर्मचारियों की सूची को हटा सकते हैं, संग्रहीत कर सकते हैं, अनसंग्रहित कर सकते हैं, या डुप्लिकेट बना सकते हैं — साथ ही उनके संबंधित चरणों (stages), मेटाडेटा, पता और आवेदनों को भी प्रभावित कर सकते हैं। Dispatcher::dispatch() द्वारा सत्यापित nonce wp_head स्क्रिप्ट लोकलाइजेशन के माध्यम से सभी प्रमाणीकृत फ्रंट-एंड दर्शकों के लिए उपलब्ध होता है, जिसका अर्थ है कि सब्सक्राइबर्स आसानी से इसे प्राप्त कर सकते हैं और बिना किसी उच्च अधिकार वाले होने के भी nonce जाँच को पूरा कर सकते हैं।

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

जिम्मेदार

Wordfence

आरक्षित करना

21/05/2026

प्रकटीकरण

09/07/2026

प्रविष्टि

VDB-377196

EPSS

0.00000

गतिविधियाँ

बहुत कम

स्रोत

Do you need the next level of professionalism?

Upgrade your account now!