CVE-2026-3552 in SurfLink Plugin情報

要約

〜によって VulDB • 2026年07月11日

WordPress用プラグイン「SurfLink - Ultimate Link Manager」には、すべてのバージョン2.6.0において、ajax_import_410()関数での権限チェックの欠如により、不正なデータ改ざンの脆弱性が存在します。これは、ajax_import_410()関数でcurrent_user_can()による権限チェックとcheck_ajax_referer()によるnonce検証が欠落しているためであり、同じクラスの他のAJAXハンドラ(ajax_add_single_410、ajax_save_editted_410、ajax_delete_410、ajax_bulk_410_delete、ajax_empty_410、ajax_export_410)は認証とnonceチェックの両方を適切に実装しています。これにより、サブスクライバーレベル以上のアクセス権を持つ攻撃者は、surfl_import_410 AJAXアクションを介して任意のURLを410 Goneデータベーステーブルにインポートすることが可能になります。注入されたURLにより、サイトはそのパスにアクセスするすべての訪問者に対してHTTP 410 Goneレスポンスを返すようになり、正当なページでのサービス拒否や、検索エンジンからの削除によるSEO被害を引き起こす可能性があります。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

Wordfence

予約する

2026年03月04日

モデレーション

承諾済み

エントリ

VDB-377747

EPSS

0.00000

アクティビティ

低い

セクター

Hostingprovider

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!