Deine Anwendung ist anfällig für CSRF-Angriffe. Damit kann ein Angreifer quasi beliebige Aktionen im Namen des Benutzers ausführen.
Das waren zwar nicht ganz so „beliebige Aktionen“, sondern „lediglich“ das Löschen von anderen Benutzern, aber das reicht ja völlig aus, um Schaden zu verursachen.
Ich sehe nicht welche Gegenmaßnahme du gegen das Anlegen und Bearbeiten von Benutzern ergriffen hast. CSRF-Attacken sind auch mit POST-Anfragen möglich. Ich würde auch nicht dazu raten selbsterfundene Maßnahmen mit JavaScript zu ergreifen. Benutze besser eine der etablierten, und intensiv erprobten Verteidigungs-Mechanismen.