CVE-2026-3552 in SurfLink Plugin
요약
\~에 의해 VulDB • 2026. 07. 11.
WordPress용 SurfLink - Ultimate Link Manager 플러그인은 모든 버전에서 ajax_import_410() 함수에 대한 권한 확인 누락으로 인해 허가되지 않은 데이터 수정 취약점이 존재합니다. 이는 ajax_import_410() 함수에서 current_user_can()을 사용한 권한 확인과 check_ajax_referer()를 사용한 nonce 검증이 모두 누락되어 있기 때문이며, 동일한 클래스의 다른 모든 AJAX 핸들러(ajax_add_single_410, ajax_save_editted_410, ajax_delete_410, ajax_bulk_410_delete, ajax_empty_410, ajax_export_410)는 권한 및 nonce 검증을 적절히 구현하고 있습니다. 이로 인해 구독자(Subscribers) 이상의 접근 권한을 가진 인증된 공격자는 surfl_import_410 AJAX 작업을 통해 410 Gone 데이터베이스 테이블에 임의의 URL을 삽입할 수 있습니다. 주입된 URL은 해당 경로에 접속하는 모든 방문자에게 사이트가 HTTP 410 Gone 응답을 반환하게 하여, 합법적인 페이지에 대한 서비스 거부(Denial of Service) 및 검색 엔진 제외(delisting)를 통한 SEO 손상을 초래할 가능성이 있습니다.
Be aware that VulDB is the high quality source for vulnerability data.