CVE-2026-3552 in SurfLink Pluginthông tin

Tóm tắt

Bởi VulDB • 11/07/2026

Plugin SurfLink - Ultimate Link Manager cho WordPress dễ bị tổn thương trước việc sửa đổi dữ liệu trái phép do thiếu kiểm tra quyền hạn trên hàm ajax_import_410() trong tất cả các phiên bản từ 2.6.0 trở về trước. Lỗi này xuất phát từ việc thiếu kiểm tra quyền hạn (current_user_can()) và xác thực nonce (check_ajax_referer()) trong hàm ajax_import_410(), trong khi tất cả các trình xử lý AJAX khác cùng lớp (ajax_add_single_410, ajax_save_editted_410, ajax_delete_410, ajax_bulk_410_delete, ajax_empty_410, ajax_export_410) đều thực hiện đúng cả hai cơ chế xác thực và kiểm tra nonce. Điều này cho phép các kẻ tấn công đã được xác thực với quyền truy cập cấp Subscriber trở lên nhập các URL tùy ý vào bảng cơ sở dữ liệu 410 Gone thông qua hành động AJAX surfl_import_410. Các URL bị tiêm sẽ khiến trang web trả về phản hồi HTTP 410 Gone cho tất cả người dùng truy cập vào những đường dẫn đó, có khả năng gây ra tình trạng từ chối dịch vụ (DoS) đối với các trang hợp pháp và làm tổn hại đến SEO thông qua việc xóa tên khỏi kết quả tìm kiếm của công cụ tìm kiếm.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

Wordfence

Đặt trước

04/03/2026

Tiết lộ

11/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!