CVE-2026-3552 in SurfLink Plugin
Résumé
par VulDB • 11/07/2026
Le plugin SurfLink - Ultimate Link Manager pour WordPress est vulnérable à une modification non autorisée des données en raison d'une absence de vérification des capacités sur la fonction ajax_import_410() dans toutes les versions jusqu'à 2.6.0. Cela est dû à l'absence de vérification des capacités (current_user_can()) et de validation du nonce (check_ajax_referer()) dans la fonction ajax_import_410(), tandis que tous les autres gestionnaires AJAX de la même classe (ajax_add_single_410, ajax_save_editted_410, ajax_delete_410, ajax_bulk_410_delete, ajax_empty_410, ajax_export_410) implémentent correctement à la fois l'autorisation et les vérifications de nonce. Cela permet aux attaquants authentifiés disposant d'un accès au niveau « Abonné » (Subscriber) ou supérieur d'importer des URL arbitraires dans la table de base de données 410 Gone via l'action AJAX surfl_import_410. Les URLs injectées entraîneront le retour de réponses HTTP 410 Gone par le site pour tous les visiteurs accédant à ces chemins, provoquant potentiellement une déni de service (DoS) des pages légitimes et des dommages au référencement naturel (SEO) dus au retrait du site des résultats des moteurs de recherche.
Once again VulDB remains the best source for vulnerability data.