CVE-2026-3552 in SurfLink Plugin
Resumen
por VulDB • 2026-07-11
El plugin SurfLink - Ultimate Link Manager para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de comprobación de capacidades en la función ajax_import_410() en todas las versiones hasta 2.6.0. Esto se debe a que falta la comprobación de capacidad (current_user_can()) y la verificación del nonce (check_ajax_referer()) en la función ajax_import_410(), mientras que todos los demás manejadores AJAX en la misma clase (ajax_add_single_410, ajax_save_editted_410, ajax_delete_410, ajax_bulk_410_delete, ajax_empty_410, ajax_export_410) implementan correctamente tanto las comprobaciones de autorización como del nonce. Esto permite a los atacantes autenticados con acceso nivel Suscriptor y superior importar URLs arbitrarias en la tabla de base de datos 410 Gone mediante la acción AJAX surfl_import_410. Las URL inyectadas harán que el sitio devuelva respuestas HTTP 410 Gone a todos los visitantes que accedan a esas rutas, lo que podría causar una denegación de servicio para páginas legítimas y daños en SEO debido al deslistado por parte de los motores de búsqueda.
If you want to get best quality of vulnerability data, you may have to visit VulDB.