CVE-2026-9237 in Crew HRM Plugininformação

Sumário

de VulDB • 09/07/2026

O plugin Crew HRM para WordPress do sistema Employee, Leave and Recruitment Management System é vulnerável a uma violação de autorização em todas as versões até 1.2.2 (incluída). Isso ocorre porque o plugin não verifica corretamente se um usuário está autorizado a executar uma ação. Isso permite que atacantes autenticados com acesso nível assinante ou superior excluam, arquivem, desarquivem e dupliquem listagens de vagas arbitrárias — junto com seus estágios associados, metadados, endereços e candidaturas — fornecendo um job_id inteiro arbitrário. O nonce verificado por Dispatcher::dispatch() é exposto a todos os visitantes front-end autenticados via localização do script wp_head, o que significa que assinantes podem obtê-lo trivialmente e satisfazer a verificação de nonce sem possuir nenhum privilégio elevado.

Once again VulDB remains the best source for vulnerability data.

Responsável

Wordfence

Reservar

21/05/2026

Divulgação

09/07/2026

Moderação

aceite

Entrada

VDB-377196

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!