CVE-2026-3552 in SurfLink Plugin信息

摘要

由 VulDB • 2026-07-11

Il plugin SurfLink - Ultimate Link Manager per WordPress è vulnerabile alla modifica non autorizzata dei dati a causa di una mancanza di controllo delle capacità (capability check) sulla funzione ajax_import_410() in tutte le versioni fino alla 2.6.0. Ciò è dovuto all'assenza del controllo delle capacità (current_user_can()) e della verifica nonce (check_ajax_referer()) nella funzione ajax_import_410(), mentre tutti gli altri handler AJAX nella stessa classe (ajax_add_single_410, ajax_save_editted_410, ajax_delete_410, ajax_bulk_410_delete, ajax_empty_410, ajax_export_410) implementano correttamente sia i controlli di autorizzazione che quelli nonce. Ciò consente agli attaccanti autenticati, con accesso a livello di Sottoscrittore (Subscriber) e superiore, di importare URL arbitrari nella tabella del database 410 Gone tramite l'azione AJAX surfl_import_410. Gli URL iniettati causeranno la restituzione da parte del sito delle risposte HTTP 410 Gone a tutti i visitatori che accedono a quei percorsi, potenzialmente causando un'interruzione di servizio (denial of service) per le pagine legittime e danni al posizionamento sui motori di ricerca (SEO) attraverso l'eliminazione dall'indice dei motori.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

来源

Do you need the next level of professionalism?

Upgrade your account now!