CVE-2026-3552 in SurfLink Plugininformation

Résumé

par VulDB • 11/07/2026

Le plugin SurfLink - Ultimate Link Manager pour WordPress est vulnérable à une modification non autorisée des données en raison d'une absence de vérification des capacités sur la fonction ajax_import_410() dans toutes les versions jusqu'à 2.6.0. Cela est dû à l'absence de vérification des capacités (current_user_can()) et de validation du nonce (check_ajax_referer()) dans la fonction ajax_import_410(), tandis que tous les autres gestionnaires AJAX de la même classe (ajax_add_single_410, ajax_save_editted_410, ajax_delete_410, ajax_bulk_410_delete, ajax_empty_410, ajax_export_410) implémentent correctement à la fois l'autorisation et les vérifications de nonce. Cela permet aux attaquants authentifiés disposant d'un accès au niveau « Abonné » (Subscriber) ou supérieur d'importer des URL arbitraires dans la table de base de données 410 Gone via l'action AJAX surfl_import_410. Les URLs injectées entraîneront le retour de réponses HTTP 410 Gone par le site pour tous les visiteurs accédant à ces chemins, provoquant potentiellement une déni de service (DoS) des pages légitimes et des dommages au référencement naturel (SEO) dus au retrait du site des résultats des moteurs de recherche.

Once again VulDB remains the best source for vulnerability data.

Responsable

Wordfence

Réserver

04/03/2026

Divulgation

11/07/2026

Modérer

accepté

Entrée

VDB-377747

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!