发布日期：2025-07-03
更新日期：2025-08-07

受影响系统：

WordPress WP Human Resource Management plugin >= 2.0.0 <= 2.2.17

描述：

---

CVE(CAN) ID: CVE-2025-5956

WP Human Resource Management plugin是WordPress的一款人力资源管理插件。
WP Human Resource Management plugin 2.0.0至2.2.17版本存在任意用户删除漏洞，该漏洞源于ajax_delete_employee()授权错误，将每个ID直接传送至wp_delete_user()而并未限制应移除ID或验证删除权限，已认证攻击者可利用该漏洞删除任意账户，包括管理员账户。

<**>

建议：

---

厂商补丁：

WordPress
---------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://wordpress.org/plugins/hrm

浏览次数：36
严重程度：0（网友投票）