JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-010826 Popup Box WordPressプラグインのバージョン5.5.0未満では、popupデータを保存する前のadd_or_edit_popupbox()関数でnonceの適切な検証が行われていません。そのため、認証されていない攻撃者がクロスサイトリクエストフォージェリ（CSRF）攻撃を実行できる可能性があります。認証された管理者が悪意のあるページを訪れると、攻撃者は管理パネルおよびフロントエンドで実行される任意のJavaScriptを含むポップアップを作成または変更することが可能です。 cpe:/a:ays-pro:popup_box https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-010826.html Common Vulnerabilities and Exposures (CVE) CVE-2025-15611 https://www.cve.org/CVERecord?id=CVE-2025-15611 National Vulnerability Database (NVD) CVE-2025-15611 https://nvd.nist.gov/vuln/detail/CVE-2025-15611 JVNDB CWE-918 https://cwe.mitre.org/data/definitions/918.html WPScan Vulnerabilities Popup Box AYS Pro < 5.5.0 Admin+ Stored Cross-Site Scripting (XSS) via CSRF | CVE 2025-15611 | Plugin Vulnerabilities https://wpscan.com/vulnerability/089ea763-2421-4089-a220-251421f7f226/ 2026-04-13T12:24:13+09:00 2026-04-13T12:24:13+09:00