CVE-2026-2720WordPress Hr Press Lite 插件存在严重的安全隐患,其所有版本(包括1.0.2在内)均受影响。该漏洞的核心在于`hrp-fetch-employees` AJAX操作未实施适当的能力检查。这使得经过身份验证的攻击者,即便是权限极低的订阅者,也能绕过权限限制,非法获取员工的敏感资料。泄露的信息涵盖了员工的全名、电子邮箱、电话号码、薪资与费率、入职日期以及就业状态等关键隐私数据,对企业信息安全构成严重威胁。
该漏洞属于典型的越权访问漏洞。在WordPress插件开发中,AJAX操作通常需要绑定特定的权限回调函数以验证用户角色。然而,Hr Press Lite插件在处理`hrp-fetch-employees`请求时,虽然在`includes/HRP_Action.php`中定义了回调函数,却遗漏了`current_user_can()`等关键权限验证步骤。这意味着,只要用户拥有有效的WordPress账户登录状态,无论其角色为何(如订阅者),均可调用该接口。攻击者利用此漏洞,只需向`/wp-admin/admin-ajax.php`端点发送包含`action=hrp-fetch-employees`参数的POST请求,服务器端脚本便会直接查询数据库并返回未经处理的敏感员工信息。由于无需管理员权限即可触发,该漏洞利用门槛极低,危害性高。