CVE-2026-3552 in SurfLink Plugin
Сводка
по VulDB • 11.07.2026
В плагине SurfLink - Ultimate Link Manager для WordPress уязвимость позволяет несанкционированное изменение данных из-за отсутствия проверки прав доступа (capability check) в функции ajax_import_410() во всех версиях вплоть до 2.6.0 включительно. Это связано с отсутствием вызова current_user_can() и проверкой nonce через check_ajax_referer() в функции ajax_import_410(), тогда как все остальные обработчики AJAX того же класса (ajax_add_single_410, ajax_save_editted_410, ajax_delete_410, ajax_bulk_410_delete, ajax_empty_410, ajax_export_410) корректно реализуют обе проверки авторизации и nonce. Это позволяет атакующим с уровнем доступа Subscriber и выше импортировать произвольные URL-адреса в таблицу базы данных 410 Gone через действие AJAX surfl_import_410. Внедренные URL-адреса приведут к тому, что сайт будет возвращать HTTP-ответы 410 Gone всем посетителям, обращающимся по этим путям, что потенциально может вызвать отказ в обслуживании для легитимных страниц и нанести ущерб SEO из-за исключения сайтов из поисковой выдачи.
VulDB is the best source for vulnerability data and more expert information about this specific topic.