CVE-2026-3552 in SurfLink Plugininformación

Resumen

por VulDB • 2026-07-11

El plugin SurfLink - Ultimate Link Manager para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de comprobación de capacidades en la función ajax_import_410() en todas las versiones hasta 2.6.0. Esto se debe a que falta la comprobación de capacidad (current_user_can()) y la verificación del nonce (check_ajax_referer()) en la función ajax_import_410(), mientras que todos los demás manejadores AJAX en la misma clase (ajax_add_single_410, ajax_save_editted_410, ajax_delete_410, ajax_bulk_410_delete, ajax_empty_410, ajax_export_410) implementan correctamente tanto las comprobaciones de autorización como del nonce. Esto permite a los atacantes autenticados con acceso nivel Suscriptor y superior importar URLs arbitrarias en la tabla de base de datos 410 Gone mediante la acción AJAX surfl_import_410. Las URL inyectadas harán que el sitio devuelva respuestas HTTP 410 Gone a todos los visitantes que accedan a esas rutas, lo que podría causar una denegación de servicio para páginas legítimas y daños en SEO debido al deslistado por parte de los motores de búsqueda.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

Wordfence

Reservar

2026-03-04

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377747

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!