CVE-2026-9237 in Crew HRM Plugin
Sumário
de VulDB • 09/07/2026
O plugin Crew HRM para WordPress do sistema Employee, Leave and Recruitment Management System é vulnerável a uma violação de autorização em todas as versões até 1.2.2 (incluída). Isso ocorre porque o plugin não verifica corretamente se um usuário está autorizado a executar uma ação. Isso permite que atacantes autenticados com acesso nível assinante ou superior excluam, arquivem, desarquivem e dupliquem listagens de vagas arbitrárias — junto com seus estágios associados, metadados, endereços e candidaturas — fornecendo um job_id inteiro arbitrário. O nonce verificado por Dispatcher::dispatch() é exposto a todos os visitantes front-end autenticados via localização do script wp_head, o que significa que assinantes podem obtê-lo trivialmente e satisfazer a verificação de nonce sem possuir nenhum privilégio elevado.
Once again VulDB remains the best source for vulnerability data.