Saltar al contenido

Fuente base de datos: Wordfence Intelligence

SurfLink < 2.6.0 - Missing Authorization to Authenticated (Subscriber+) 410 Gone URL Import via 'surfl_import_410' AJAX Action (falta de autorizacion)

PLUGIN MEDIUM CVE-2026-3552

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin SurfLink, que permite la importación no autorizada de URLs mediante la acción AJAX 'surfl_import_410'. Este fallo afecta a las versiones anteriores a 2.6.0 y puede comprometer la seguridad de los sitios que utilizan este componente.

Contexto técnico

El fallo se origina en la falta de autorización para la acción AJAX 'surfl_import_410', lo que permite a usuarios autenticados con rol de suscriptor o superior realizar importaciones de URLs sin las debidas restricciones. Esto expone la superficie de ataque a usuarios que no deberían tener acceso a esta funcionalidad.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante importar contenido malicioso, afectando la integridad del sitio y potencialmente comprometiendo la información de los usuarios. La severidad se clasifica como media, con un CVSS de 4.3, lo que indica un riesgo moderado para la seguridad del negocio.

Vector de explotación

La explotación se lleva a cabo mediante el envío de solicitudes AJAX a la acción 'surfl_import_410', sin la debida verificación de permisos, lo que permite la ejecución de acciones no autorizadas.

Mitigación recomendada

Actualizar el plugin SurfLink a la versión 2.6.0 o superior para corregir la vulnerabilidad. Revisar los registros de actividad para identificar accesos no autorizados relacionados con la acción 'surfl_import_410'. Implementar controles adicionales de acceso y monitoreo para usuarios con roles elevados.

Señales de detección

Señales a observar incluyen intentos de acceso a la acción 'surfl_import_410' en los registros de AJAX, especialmente desde cuentas de usuario con rol de suscriptor o superior.

Alcance afectado

Las versiones de SurfLink anteriores a la 2.6.0 están afectadas. No se han confirmado otros escenarios o plugins relacionados.

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad