CVE-2026-3552 in SurfLink Pluginالمعلومات

الملخص

بحسب VulDB • 11/07/2026

يُعدّ إضافة SurfLink - Ultimate Link Manager لـ WordPress عرضة لتعديل البيانات غير المصرح به بسبب غياب فحص الصلاحيات (capability check) في دالة `ajax_import_410()` في جميع الإصدارات حتى 2.6.0. ويعود ذلك إلى عدم وجود فحص للصلاحيات (`current_user_can()`) وعدم التحقق من الرمز العشوائي لمرة واحدة (nonce verification) عبر `check_ajax_referer()` داخل الدالة `ajax_import_410()`، بينما تطبق بقية معالجات AJAX في نفس الفئة (`ajax_add_single_410`، `ajax_save_editted_410`، `ajax_delete_410`، `ajax_bulk_410_delete`، `ajax_empty_410`، `ajax_export_410`) كلًا من فحص التفويض والتحقق من الـ nonce بشكل صحيح. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "Subscriber" أو أعلى، استيراد عناوين URL تعسفية إلى جدول قاعدة البيانات الخاص بـ 410 Gone عبر إجراء AJAX `surfl_import_410`. وستؤدي عناوين URL المُحقَنة إلى جعل الموقع يعيد ردود HTTP 410 Gone لجميع الزوار الذين يصلون إلى تلك المسارات، مما قد يتسبب في حجب الخدمة (Denial of Service) للصفحات المشروعة وإلحاق ضرر بتحسين محركات البحث (SEO) من خلال إزالة الصفحات من نتائج محركات البحث.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

Wordfence

حجز

04/03/2026

إفشاء

11/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377747

EPSS

0.00000

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!