漏洞概述 标题: Popup Box AYS Pro < 5.5.0 - Admin+ Stored Cross-Site Scripting (XSS) via CSRF 描述: 该插件在保存弹窗数据前,未在 函数中正确验证 nonce,导致未授权攻击者可进行跨站请求伪造(CSRF)攻击。当认证管理员访问恶意页面时,攻击者可创建或修改包含任意 JavaScript 的弹窗,从而在后台和前端执行代码。 影响范围 插件名称: AYS Popup Box (AYS Pro) 受影响版本: < 5.5.0 概念验证 (Proof of Concept) 分类信息 类型 (Type): XSS OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE: CWE-79 CVSS: 6.1 (medium) 其他信息 原始研究人员 (Original Researcher): Spider Sec Ltd 提交者 (Submitter): Spider Sec Ltd WPVDB ID:** 089ea763-2421-4089-a220-251421f71226