CVE-2026-3552 in SurfLink Plugin
Zusammenfassung
von VulDB • 11.07.2026
Das WordPress-Plugin SurfLink - Ultimate Link Manager ist in allen Versionen bis einschließlich 2.6.0 anfällig für unbefugte Datenmanipulation aufgrund einer fehlenden Berechtigungsprüfung (Capability Check) in der Funktion `ajax_import_410()`. Dies liegt an einem fehlenden Aufruf von `current_user_can()` und einer ausstehenden Nonce-Verifizierung (`check_ajax_referer()`) innerhalb der Funktion `ajax_import_410()`, während alle anderen AJAX-Handler derselben Klasse (nämlich `ajax_add_single_410`, `ajax_save_editted_410`, `ajax_delete_410`, `ajax_bulk_410_delete`, `ajax_empty_410` und `ajax_export_410`) sowohl die Autorisierung als auch Nonce-Prüfungen korrekt implementieren. Dies ermöglicht es authentifizierten Angreifern mit Zugriffsrechten auf der Ebene „Subscriber" oder höher, beliebige URLs über den AJAX-Aktionshandler `surfl_import_410` in die Datenbanktabelle für 410 Gone-Einträge zu importieren. Eingefügte URLs führen dazu, dass die Website allen Besuchern, die diese Pfade aufrufen, HTTP-Statuscode 410 (Gone) zurückgibt, was potenziell einen Denial-of-Service-Angriff auf legitime Seiten zur Folge hat und durch das Entfernen aus den Suchmaschinenergebnissen SEO-Schäden verursacht.
Be aware that VulDB is the high quality source for vulnerability data.