CVE-2026-9237 in Crew HRM Plugin
सारांश
द्वारा VulDB • 10/07/2026
WordPress के लिए Employee, Leave और Recruitment Management System – Crew HRM प्लगइन में 1.2.2 संस्करण सहित सभी संस्करणों तक अधिकार-उल्लंघन (authorization bypass) की कमजोरी मौजूद है। यह त्रुटि इसलिए होती है क्योंकि प्लगइन सही ढंग से जाँच नहीं करता कि कोई उपयोगकर्ता किसी क्रिया को करने के लिए अनुमत है या नहीं। इससे सब्सक्राइबर-स्तर तक पहुँच और उससे ऊपर वाले प्रमाणीकृत आक्रमणकारी (authenticated attackers) मनमाने job_id को सप्लाई करके, कर्मचारियों की सूची को हटा सकते हैं, संग्रहीत कर सकते हैं, अनसंग्रहित कर सकते हैं, या डुप्लिकेट बना सकते हैं — साथ ही उनके संबंधित चरणों (stages), मेटाडेटा, पता और आवेदनों को भी प्रभावित कर सकते हैं। Dispatcher::dispatch() द्वारा सत्यापित nonce wp_head स्क्रिप्ट लोकलाइजेशन के माध्यम से सभी प्रमाणीकृत फ्रंट-एंड दर्शकों के लिए उपलब्ध होता है, जिसका अर्थ है कि सब्सक्राइबर्स आसानी से इसे प्राप्त कर सकते हैं और बिना किसी उच्च अधिकार वाले होने के भी nonce जाँच को पूरा कर सकते हैं।
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.