CVE-2026-3552 in SurfLink PluginИнформация

Сводка

по VulDB • 11.07.2026

В плагине SurfLink - Ultimate Link Manager для WordPress уязвимость позволяет несанкционированное изменение данных из-за отсутствия проверки прав доступа (capability check) в функции ajax_import_410() во всех версиях вплоть до 2.6.0 включительно. Это связано с отсутствием вызова current_user_can() и проверкой nonce через check_ajax_referer() в функции ajax_import_410(), тогда как все остальные обработчики AJAX того же класса (ajax_add_single_410, ajax_save_editted_410, ajax_delete_410, ajax_bulk_410_delete, ajax_empty_410, ajax_export_410) корректно реализуют обе проверки авторизации и nonce. Это позволяет атакующим с уровнем доступа Subscriber и выше импортировать произвольные URL-адреса в таблицу базы данных 410 Gone через действие AJAX surfl_import_410. Внедренные URL-адреса приведут к тому, что сайт будет возвращать HTTP-ответы 410 Gone всем посетителям, обращающимся по этим путям, что потенциально может вызвать отказ в обслуживании для легитимных страниц и нанести ущерб SEO из-за исключения сайтов из поисковой выдачи.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

Wordfence

Резервировать

04.03.2026

Раскрытие

11.07.2026

Модерация

принято

Вход

VDB-377747

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Сектор

Hostingprovider

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!