CVE-2026-3552 in SurfLink Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 11.

WordPress용 SurfLink - Ultimate Link Manager 플러그인은 모든 버전에서 ajax_import_410() 함수에 대한 권한 확인 누락으로 인해 허가되지 않은 데이터 수정 취약점이 존재합니다. 이는 ajax_import_410() 함수에서 current_user_can()을 사용한 권한 확인과 check_ajax_referer()를 사용한 nonce 검증이 모두 누락되어 있기 때문이며, 동일한 클래스의 다른 모든 AJAX 핸들러(ajax_add_single_410, ajax_save_editted_410, ajax_delete_410, ajax_bulk_410_delete, ajax_empty_410, ajax_export_410)는 권한 및 nonce 검증을 적절히 구현하고 있습니다. 이로 인해 구독자(Subscribers) 이상의 접근 권한을 가진 인증된 공격자는 surfl_import_410 AJAX 작업을 통해 410 Gone 데이터베이스 테이블에 임의의 URL을 삽입할 수 있습니다. 주입된 URL은 해당 경로에 접속하는 모든 방문자에게 사이트가 HTTP 410 Gone 응답을 반환하게 하여, 합법적인 페이지에 대한 서비스 거부(Denial of Service) 및 검색 엔진 제외(delisting)를 통한 SEO 손상을 초래할 가능성이 있습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

Wordfence

예약하다

2026. 03. 04.

모더레이션

수락

항목

VDB-377747

EPSS

0.00000

활동

낮음

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!