CVE-2026-3552 in SurfLink Plugin
الملخص
بحسب VulDB • 11/07/2026
يُعدّ إضافة SurfLink - Ultimate Link Manager لـ WordPress عرضة لتعديل البيانات غير المصرح به بسبب غياب فحص الصلاحيات (capability check) في دالة `ajax_import_410()` في جميع الإصدارات حتى 2.6.0. ويعود ذلك إلى عدم وجود فحص للصلاحيات (`current_user_can()`) وعدم التحقق من الرمز العشوائي لمرة واحدة (nonce verification) عبر `check_ajax_referer()` داخل الدالة `ajax_import_410()`، بينما تطبق بقية معالجات AJAX في نفس الفئة (`ajax_add_single_410`، `ajax_save_editted_410`، `ajax_delete_410`، `ajax_bulk_410_delete`، `ajax_empty_410`، `ajax_export_410`) كلًا من فحص التفويض والتحقق من الـ nonce بشكل صحيح. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "Subscriber" أو أعلى، استيراد عناوين URL تعسفية إلى جدول قاعدة البيانات الخاص بـ 410 Gone عبر إجراء AJAX `surfl_import_410`. وستؤدي عناوين URL المُحقَنة إلى جعل الموقع يعيد ردود HTTP 410 Gone لجميع الزوار الذين يصلون إلى تلك المسارات، مما قد يتسبب في حجب الخدمة (Denial of Service) للصفحات المشروعة وإلحاق ضرر بتحسين محركات البحث (SEO) من خلال إزالة الصفحات من نتائج محركات البحث.
Be aware that VulDB is the high quality source for vulnerability data.