CVE-2026-3552 in SurfLink Plugin
要約
〜によって VulDB • 2026年07月11日
WordPress用プラグイン「SurfLink - Ultimate Link Manager」には、すべてのバージョン2.6.0において、ajax_import_410()関数での権限チェックの欠如により、不正なデータ改ざンの脆弱性が存在します。これは、ajax_import_410()関数でcurrent_user_can()による権限チェックとcheck_ajax_referer()によるnonce検証が欠落しているためであり、同じクラスの他のAJAXハンドラ(ajax_add_single_410、ajax_save_editted_410、ajax_delete_410、ajax_bulk_410_delete、ajax_empty_410、ajax_export_410)は認証とnonceチェックの両方を適切に実装しています。これにより、サブスクライバーレベル以上のアクセス権を持つ攻撃者は、surfl_import_410 AJAXアクションを介して任意のURLを410 Goneデータベーステーブルにインポートすることが可能になります。注入されたURLにより、サイトはそのパスにアクセスするすべての訪問者に対してHTTP 410 Goneレスポンスを返すようになり、正当なページでのサービス拒否や、検索エンジンからの削除によるSEO被害を引き起こす可能性があります。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.